Hacker had toegang tot privégegevens KPN-klanten - update
Een of meer hackers hebben bij KPN ingebroken. Privégegevens van klanten waren toegankelijk, bevestigt de provider. De hacker had een week nadat de hack werd ontdekt, nog toegang. Er is echter geen bewijs dat gegevens zijn gekopieerd.
Een of meer hackers hebben het netwerk van de telecom- en internetprovider weten binnen te dringen, al is onduidelijk hoeveel servers zijn getroffen. KPN spreekt over 'één serverdomein'. "KPN heeft onmiddellijk maatregelen getroffen om maximaal de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen", meldt KPN.
Volgens woordvoerder Patrick Mikkelsen van de provider kon de hacker bij klantgegevens. Het ging onder meer om naw-gegevens, telefoonnummers en bankrekeningnummers. "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd", zegt hij.
Toen de hack werd ontdekt, op 20 januari, werd geprobeerd om het lek te dichten. Op dat moment had de hacker waarschijnlijk al een paar dagen toegang. Uit nauwkeuriger onderzoek op 27 januari bleek echter dat de hacker nog steeds toegang had. "Maar hij heeft in die week geen activiteit vertoond", stelt Mikkelsen. Volgens Mikkelsen was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt.
Samen met ict-beveiliger Fox-IT is de dreiging opgelost, aldus het bedrijf. Waar de hackers naar op zoek waren en wat ze hebben gevonden, is onduidelijk. Ook hoe de hack heeft plaatsgevonden, is onbekend. Het bedrijf werkt samen met de politie om de zaak op te lossen.
In november staakte KPN tijdelijk de uitgifte van Getronics-ssl-certificaten nadat er mogelijk verdachte sporen waren aangetroffen. Ook werd de website van KPN-dochter Gemnet, die de aanvraag van ssl-certificaten voor de overheid ondersteunt, tijdelijk offline gehaald.
Update, 17:05: Het stuk is bijgewerkt met de informatie uit een gesprek met KPN.
Reacties (84)
lekker dan... En who knows hoeveel gegevens van oud-klanten er nog beschikbaar waren...Of er klantgegevens zijn ontvreemd, is onbekend.
Ben wel benieuwd vanuit welk oogpunt de hackers dit gedaan hebben...
edit:
quote-tags vergeten,
quote-tags vergeten,
[Reactie gewijzigd door shishdem op 8 februari 2012 16:47]
Als het niet bekend is, is het niet bekend en spreken ze niet meer dan de waarheid.
Het zou nog veel erger zijn als ze liegen.
Het zou nog veel erger zijn als ze liegen.
Het is niet gezegd dat ze niet liegen, het kan best dat ze weten dat het wel gebeurt is maar dat beleid zegt dat het ontkent moet worden.
Dit baart mij meer zorgen.. Hebben ze het over een zero-day exploit of zeggen ze eigenlijk dat ze gewoon geen benul hebben? Ik zou wel graag willen weten wat FOX-IT gedaan heeft om het op te lossen..?Volgens Mikkelsen was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt.
Waarschijnlijk het advies gegeven wat je ook geeft bij rootkits die zich bijzonder diep in het systeem hebben genesteld: alle systemen die (mogelijk) zijn gehacked opnieuw installeren en je vingers kruisen dat de gebruikte exploit(s) niet meer aanwezig is/zijn in de current (en geinstalleerde) packages van de gebruikte BSD of Linux distributie.Ik zou wel graag willen weten wat FOX-IT gedaan heeft om het op te lossen..?
"Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd"Het zou nog veel erger zijn als ze liegen.
Zit er wel behoorlijk dicht tegenaan. Ze wekken met dit taalgebruik de suggestie dat er geen gegevens zijn misbruikt of gekopieerd. Maar als je goed leest had er natuurlijk net zo goed kunnen staan:
"Uit onderzoek is niet gebleken dat de gegevens niet zijn misbruikt of gekopieerd"
jaja, een dubbele ontkenning is ook niet alles. Het alternatief is dat "uit onderzoek niets is gebleken"
Als je de gegevens kunt lezen, kun je ze ook kopieren, dus dat is totale bullshit en bedoeld om iedereen rustig te houden. We zullen toch wel niet horen wat er precies is gebeurd want dat willen dit soort organisaties (zie diginotar) het liefste stil houden.
Ze zullen inderdaad niet alle vuile was buiten hangen, dat is een aanname die ik wel aandurf.
Ik begin mij toch wat zorgen te maken.
De grootste organisaties blijken hun digitale zaken niet afdoende te kunnen beveiligen.
Ligt dat aan de organisaties zelf, of is ze niets te verwijten met een 0-day exploit?
Ik begin mij toch wat zorgen te maken.
De grootste organisaties blijken hun digitale zaken niet afdoende te kunnen beveiligen.
Ligt dat aan de organisaties zelf, of is ze niets te verwijten met een 0-day exploit?
Klopt, maar dat je genoeg rechten hebt om gegevens te lezen betekent nog niet dat je ze daadwerkelijk gelezen hebt.Als je de gegevens kunt lezen, kun je ze ook kopieren
Stel, iemand breekt in en maakt voor zichzelf een account aan met dezelfde rechten als de helpdesk. Dan heeft ie genoeg rechten om klantgegevens te lezen. Achteraf kun je echter in de logs (die door de helpdesk niet aangepast / gemanipuleerd / verwijderd kunnen worden) terugzien of ie dat ook daadwerkelijk gedaan heeft (en, zo ja, van welke klanten).
Blijft natuurlijk de vraag waarom iemand de moeite zou nemen om in te breken als ie, zodra ie binnen is, niks doet. Een verklaring is dat het enkel om nieuwsgierigheid / de kick ging, een andere verklaring is dat ie wel iets heeft gedaan, maar iets heel anders kan klantgegevens kopiëren. (Nog een andere verklaring is dat ie wel degelijk klantgegevens gekopieerd heeft maar dat ie dat gedaan heeft zonder dat KPN erachter is gekomen (of, inderdaad, dat ze glashard liegen).)
Dit is niet altijd waar. Ligt eraan of er een superuser of een user die genoeg rechten heeft overgenomen is. Je kan wel dagenlang toegang hebben gehad maar wil nog niet zeggen dat de user die over genomen is ook daadwerkelijk iets mag doen en dat is niet duidelijk.
Als het al gebeurt is......
Vergeet niet dat heel veel partijen momenteel voordeel halen door hackers in het kwade daglicht te stellen..
Zodat "Hackers" in de breedste vorm door het publiek word gezien als "BAD GUY".
En dan komt de overheid met redende regelgevingen die jou vrijheid gaan beperken, maar het is voor het "goede" doel, om de criminelende hackers tegen te gaan...
Dit bericht heeft alles van een HOAX.
Geen bewijs en in de trend dat het beschreven is, met dubbelle ontkenningen en vermoedens, maar geen feiten, erg twijfelachtig allemaal.
Vergeet niet dat heel veel partijen momenteel voordeel halen door hackers in het kwade daglicht te stellen..
Zodat "Hackers" in de breedste vorm door het publiek word gezien als "BAD GUY".
En dan komt de overheid met redende regelgevingen die jou vrijheid gaan beperken, maar het is voor het "goede" doel, om de criminelende hackers tegen te gaan...
Dit bericht heeft alles van een HOAX.
Geen bewijs en in de trend dat het beschreven is, met dubbelle ontkenningen en vermoedens, maar geen feiten, erg twijfelachtig allemaal.
Dat vraag ik me ook af. Ben in elk geval ook benieuwd of het een Nederlandse hacker was of niet. Het lijkt er wel op dat KPN (al dan niet op advies van Fox-IT) geleerd heeft van de "houdt het onder de pet" -methode van Diginotar, aangezien ze het zelf op de site publiceren.
Anyweetjes: Kevin Mitnick had het ook altijd op telco's voorzien, misschien was Ghost in the Wires wel inspiratie voor de hacker(s) ;-) Ik vond het iig een prachtboek. Ook vooral omdat daarin heel duidelijk wordt hoe groot het belang van social enginering vaak is bij dit soort hacks. Hopelijk komt hier "ooit" nog eens veel meer info over naar buiten. KPN komt een stuk dichterbij dan de Cellular Subscribers Group oid.
Anyweetjes: Kevin Mitnick had het ook altijd op telco's voorzien, misschien was Ghost in the Wires wel inspiratie voor de hacker(s) ;-) Ik vond het iig een prachtboek. Ook vooral omdat daarin heel duidelijk wordt hoe groot het belang van social enginering vaak is bij dit soort hacks. Hopelijk komt hier "ooit" nog eens veel meer info over naar buiten. KPN komt een stuk dichterbij dan de Cellular Subscribers Group oid.
Want het inbreken op de privégegevens van KPN-klanten is iets waar Anonymous baat bij heeft? Zo verlies je namelijk wel de sympathie van de bevolking.
Waar haal jij trouwens het idee vandaan dat Anonymous iets hiermee te maken heeft vandaan?
Waar haal jij trouwens het idee vandaan dat Anonymous iets hiermee te maken heeft vandaan?
Inderdaad!
Lijkt meer een bericht om "Hackers" in het algemeen in een kwaad daglicht te stellen.
En ja veel simpele zielen denken dan ow "Hackers" dat is toch Anonymous?
Die suggestie moet dus gewekt worden...
Maar dat heeft NIETS met Anonymous te maken.
Lijkt meer een bericht om "Hackers" in het algemeen in een kwaad daglicht te stellen.
En ja veel simpele zielen denken dan ow "Hackers" dat is toch Anonymous?
Die suggestie moet dus gewekt worden...
Maar dat heeft NIETS met Anonymous te maken.
Het is goed mogelijk dat vanwege internationale authoriteiten KPN niet mag vrijlaten wat er precies is buit gemaakt. Een tijdje terug stond in de HBR een soort gelijk verhaal over wat te doen wanneer een Amerikaans bedrijf gehacked wordt wat de consequenties kunnen zijn. Het begint alleen al als het een bedrijf is dat binnen meerdere staten opereert ze de FBI dienen in te lichten. Daarnaast hebben ze direct een advocaten partij in de nek hangen die de burgers vertegenwoordigd en zo waren nog een tal van problemen die je eigenlijk als (Europese) buitenstaander niet verwacht.
Mij verwondert het dan ook niet echt meer na het lezen van een dergelijke casus dat bedrijven soms geheimzinnig over iets doen. Het is goed mogelijk als KPN deze informatie wel publiceert dat ze zelf een misdaad begaan. We kunnen dan ook niet veel meer (waarschijnlijk net zoals de KPN) dan afwachten.
En inderdaad, wie is hier nou eigenlijk verantwoordelijk voor...
Mij verwondert het dan ook niet echt meer na het lezen van een dergelijke casus dat bedrijven soms geheimzinnig over iets doen. Het is goed mogelijk als KPN deze informatie wel publiceert dat ze zelf een misdaad begaan. We kunnen dan ook niet veel meer (waarschijnlijk net zoals de KPN) dan afwachten.
En inderdaad, wie is hier nou eigenlijk verantwoordelijk voor...
Nee want de hack was vorige maand al, lijkt me dus sterk 
Waarschijnlijk bestaat de vulnerability nog, en dus kunnen de hackers nog steeds terug keren (en mogelijk schade aanrichten). Zolang KPN geen openheid van zaken geeft zou ik het niet als "ongerelateerd" willen beschouwen.Ook hoe de hack heeft plaatsgevonden, is onbekend.
En als deze hackers iets buit hebben gemaakt zal KPN dat eerst proberen te ontkennen. Blijkt dat ze wel iets buit hebben gemaakt, zullen ze zeggen dat het anonieme gegevens waren waar niemand iets mee kan. Wat er daadwerkelijk gebeurd is, zullen ze zo lang mogelijk geheim proberen te houden.
Hackers ontkennen niets. Die zijn hem al lang gesmeerd. KPN moet constateren of er gegevens zijn ontvreemd. Iets wat moeilijk te constateren is.
Nu ik mijn bericht zo terug lees, was ik niet duidelijk genoeg, ik bedoelde KPN.
wph doelt waarschijnlijk op KPN met 'ze', niet de hackers.
Ik hoop dat ze geheime dossiers hebben buitgemaakt waarin de afspraak tussen telecom providers over de datalimieten staan. *
Dat kan een reden zijn waarom de hacker wilde indringen bij KPN.
Dat kan een reden zijn waarom de hacker wilde indringen bij KPN.
Al zou dat gevonden zijn, wie geloofd die hacker als die dat bekend zou maken? Het mag niet gebruikt worden in een proces.
Maar de reputatieschade zou genoeg zijn. Tevens zou de openbaring van een dergelijk document leiden tot een diepgravend onderzoek door de NMa (en natuurlijk springt de 2e kamer er ook bovenop 
Als we weer met beide benen op de aarde zijn, zijn er twee realistische mogelijkheden waarom hackers dit gedaan hebben: Aandacht of geld, danwel beide.
Dus als ik het goed begrijp... Ze hebben het probleem opgelost maar ze weten niet wat het probleem (exploit) was?
Geen wonder dat ze de Getronics de deur uitdoen, als ze al niet in staat zijn een gat te dichten in het netwerk, wat kunnen ze dan wel ?
De overige servers blijven nog wel toegankelijk voor de hacker? Als een soort van honeypot?De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
Uit de bron van het artikel:
edit:
Volgens het bericht van KPN heeft de hacker ook toegang gehad tot klantgegevens:
Waarom lees ik hier niet dat klanten waarvan deze gegevens mogelijkerwijs op straat liggen worden geïnformeerd?KPN heeft de relevante instanties geïnformeerd: het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta, het Ministerie van Economische Zaken, Landbouw & Innovatie, het Ministerie van Veiligheid & Justitie en het Openbaar Ministerie.
edit:
Volgens het bericht van KPN heeft de hacker ook toegang gehad tot klantgegevens:
Zeker in dat geval lijkt het informeren van de getroffen klanten mij toch het minste dat je kunt doen als bedrijf zijnde. Leuk dat allerlei instanties op de hoogte worden gebracht, maar diegenen die dit direct zou raken krijgen niks te horen!De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
[Reactie gewijzigd door Foamy op 8 februari 2012 17:10]
Als het om één of andere triviale server gaat valt de schade wel mee en lijkt me er weinig toegevoegde waarde hebben paniek te zaaien.
Denk dat je eerst het zwaarst mogelijke scenario wil bepalen en aan de hand daarop kijkt wat je doet met je klanten.
Denk dat je eerst het zwaarst mogelijke scenario wil bepalen en aan de hand daarop kijkt wat je doet met je klanten.
Ook uit de bron:
De hacker heeft dus (volgens het bericht van KPN) weldegelijk toegang gehad tot klantgegevens.De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
Dat niet alleen: "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd".
Die gegevens zijn zijn/haar kant op gegaan, dus is er eigenlijk al een kopie gemaakt, in een cache, gedownload bestand of wat niet al.
Dat zal waarschijnlijk maar een deel zijn, puur wat er op het scherm heeft gestaan, maar toch. (Staat er in de logfiles van die servers eigenlijk goed vermeld hoeveel bytes etc en wat er naar een bepaalde verbinding gaat?)
Die gegevens zijn zijn/haar kant op gegaan, dus is er eigenlijk al een kopie gemaakt, in een cache, gedownload bestand of wat niet al.
Dat zal waarschijnlijk maar een deel zijn, puur wat er op het scherm heeft gestaan, maar toch. (Staat er in de logfiles van die servers eigenlijk goed vermeld hoeveel bytes etc en wat er naar een bepaalde verbinding gaat?)
Ze (KPN) zijn volgens mij in ieder geval in overtreding omdat de Wet op de Privacy voorschrijft dat mogelijke diefstal van persoonsgegevens binnen 24 uur gemeld moet zijn bij de autoriteit (CBP). En aangezien ze maatregele genomen hebben om de hacker de toegang tot klantgegevens te ontzeggen waren die dus blijkbaar wel buit te maken binnen dat domein.
Waar lees jij dat dat niet is gebeurd ?Ze (KPN) zijn volgens mij in ieder geval in overtreding omdat de Wet op de Privacy voorschrijft dat mogelijke diefstal van persoonsgegevens binnen 24 uur gemeld moet zijn bij de autoriteit (CBP).
Zouden er op de servers van KPN ook bestanden staan van dochterbedrijven, zoals Hi?
je zou denken van wel.. hoop het niet want zit zelf bij Hi..
Kamervragen!
'Er is echter geen bewijs dat gegevens zijn gekopieerd', dat is toch juist de kracht achter kopieren? geen sporen achterlaten..
'Er is echter geen bewijs dat gegevens zijn gekopieerd', dat is toch juist de kracht achter kopieren? geen sporen achterlaten..
Ja leuk, kopieren = lezen (access), kopieren (4us scanner checkt) en daarna schrijven.... Je laat altijd sporen na...
check van een willekeurig file system maar eens hoeveel je kan achterhalen bij bijv bestandseigenschappen.. probeer maar eens remote, met je commandline deze attribs te wijzigen.. en dan geen sporen achterlaten in de logging.. zal je niet meevallen..
check van een willekeurig file system maar eens hoeveel je kan achterhalen bij bijv bestandseigenschappen.. probeer maar eens remote, met je commandline deze attribs te wijzigen.. en dan geen sporen achterlaten in de logging.. zal je niet meevallen..
Dat is wel erg naïef. Het is triviaal kopieertools te schrijven die die attributen niet wijzigen of achteraf netjes terugzetten op wat het was. Een virusscanner logt niet iedere bestandstoegang en zeker niet als het niet om executables gaat, en zelfs al deed hij dat wel, die zet ik als hacker natuurlijk uit en ik gooi de logs ook nog even weg.
Als de logging van het systeem er zo uit ziet:
* boosdoener@diepdonkerdal logged in on UNHACKABLE
* logging disabled on UNHACKABLE
Dan kun je daarna zeer weinig concluderen over wat er met de machine gebeurd is, en kopiëren (het lezen van data, waarbij het schrijven niet naar dezelfde machine gebeurt) is wel het meest ongrijpbare.
Als alle data die de machine kan aanspreken extern is, en de auditing van de externe data is aantoonbaar niet gecompromitteerd, dan kan ik er nog wat mee.
Als de logging van het systeem er zo uit ziet:
* boosdoener@diepdonkerdal logged in on UNHACKABLE
* logging disabled on UNHACKABLE
Dan kun je daarna zeer weinig concluderen over wat er met de machine gebeurd is, en kopiëren (het lezen van data, waarbij het schrijven niet naar dezelfde machine gebeurt) is wel het meest ongrijpbare.
Als alle data die de machine kan aanspreken extern is, en de auditing van de externe data is aantoonbaar niet gecompromitteerd, dan kan ik er nog wat mee.
Dan moeten ze auditting maar aan zetten, daar kun je elke file access mee loggen, maar ja, die logs worden wel erg groot als er veel access is.
Heel strict genomen laat elke handeling sporen na, dus ook remote access via command-line of wat dan ook. De enige manier om dit tegen te gaan is een write-blocker aansluiten en dan kopieren (NFRkitje), maar dan is er eerder sprake van inbraak dan van hacking wegens fysieke toegang
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Microsoft Apple Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
