Door Joost Schellevis, , reacties: 84, views: 47.895 •

Een of meer hackers hebben bij KPN ingebroken. Privégegevens van klanten waren toegankelijk, bevestigt de provider. De hacker had een week nadat de hack werd ontdekt, nog toegang. Er is echter geen bewijs dat gegevens zijn gekopieerd.

Een of meer hackers hebben het netwerk van de telecom- en internetprovider weten binnen te dringen, al is onduidelijk hoeveel servers zijn getroffen. KPN spreekt over 'één serverdomein'. "KPN heeft onmiddellijk maatregelen getroffen om maximaal de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen", meldt KPN.

Volgens woordvoerder Patrick Mikkelsen van de provider kon de hacker bij klantgegevens. Het ging onder meer om naw-gegevens, telefoonnummers en bankrekeningnummers. "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd", zegt hij.

Toen de hack werd ontdekt, op 20 januari, werd geprobeerd om het lek te dichten. Op dat moment had de hacker waarschijnlijk al een paar dagen toegang. Uit nauwkeuriger onderzoek op 27 januari bleek echter dat de hacker nog steeds toegang had. "Maar hij heeft in die week geen activiteit vertoond", stelt Mikkelsen. Volgens Mikkelsen was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt.

Samen met ict-beveiliger Fox-IT is de dreiging opgelost, aldus het bedrijf. Waar de hackers naar op zoek waren en wat ze hebben gevonden, is onduidelijk. Ook hoe de hack heeft plaatsgevonden, is onbekend. Het bedrijf werkt samen met de politie om de zaak op te lossen.

In november staakte KPN tijdelijk de uitgifte van Getronics-ssl-certificaten nadat er mogelijk verdachte sporen waren aangetroffen. Ook werd de website van KPN-dochter Gemnet, die de aanvraag van ssl-certificaten voor de overheid ondersteunt, tijdelijk offline gehaald.

Update, 17:05: Het stuk is bijgewerkt met de informatie uit een gesprek met KPN.

Onderwerpen

Gerelateerde content

Alle gerelateerde content (31)

Reacties (84)

Reactiefilter:-184080+153+24+30
Platte weergaveSorteer aflopendFaq
1 2 3
0 shishdem
8 februari 2012 16:46
Of er klantgegevens zijn ontvreemd, is onbekend.
lekker dan... En who knows hoeveel gegevens van oud-klanten er nog beschikbaar waren...

Ben wel benieuwd vanuit welk oogpunt de hackers dit gedaan hebben...
edit:
quote-tags vergeten,

[Reactie gewijzigd door shishdem op 8 februari 2012 16:47]

+1 Vexxon
@shishdem8 februari 2012 16:50
Als het niet bekend is, is het niet bekend en spreken ze niet meer dan de waarheid.
Het zou nog veel erger zijn als ze liegen.
+2 Incr.Badeend
@Vexxon8 februari 2012 17:11
Het is niet gezegd dat ze niet liegen, het kan best dat ze weten dat het wel gebeurt is maar dat beleid zegt dat het ontkent moet worden.
Volgens Mikkelsen was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt.
Dit baart mij meer zorgen.. Hebben ze het over een zero-day exploit of zeggen ze eigenlijk dat ze gewoon geen benul hebben? Ik zou wel graag willen weten wat FOX-IT gedaan heeft om het op te lossen..?
+1 mindcrash
@Incr.Badeend8 februari 2012 17:21
Ik zou wel graag willen weten wat FOX-IT gedaan heeft om het op te lossen..?
Waarschijnlijk het advies gegeven wat je ook geeft bij rootkits die zich bijzonder diep in het systeem hebben genesteld: alle systemen die (mogelijk) zijn gehacked opnieuw installeren en je vingers kruisen dat de gebruikte exploit(s) niet meer aanwezig is/zijn in de current (en geinstalleerde) packages van de gebruikte BSD of Linux distributie.
+2 Zaphod69
@Vexxon8 februari 2012 18:35
Het zou nog veel erger zijn als ze liegen.
"Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd"
Zit er wel behoorlijk dicht tegenaan. Ze wekken met dit taalgebruik de suggestie dat er geen gegevens zijn misbruikt of gekopieerd. Maar als je goed leest had er natuurlijk net zo goed kunnen staan:
"Uit onderzoek is niet gebleken dat de gegevens niet zijn misbruikt of gekopieerd"

jaja, een dubbele ontkenning is ook niet alles. Het alternatief is dat "uit onderzoek niets is gebleken" :Y)
+1 intraxi
@Zaphod698 februari 2012 19:03
Als je de gegevens kunt lezen, kun je ze ook kopieren, dus dat is totale bullshit en bedoeld om iedereen rustig te houden. We zullen toch wel niet horen wat er precies is gebeurd want dat willen dit soort organisaties (zie diginotar) het liefste stil houden.
+1 albino71
@intraxi8 februari 2012 22:28
Ze zullen inderdaad niet alle vuile was buiten hangen, dat is een aanname die ik wel aandurf.

Ik begin mij toch wat zorgen te maken.
De grootste organisaties blijken hun digitale zaken niet afdoende te kunnen beveiligen.

Ligt dat aan de organisaties zelf, of is ze niets te verwijten met een 0-day exploit?
+1 robvanwijk
@intraxi9 februari 2012 03:36
Als je de gegevens kunt lezen, kun je ze ook kopieren
Klopt, maar dat je genoeg rechten hebt om gegevens te lezen betekent nog niet dat je ze daadwerkelijk gelezen hebt.
Stel, iemand breekt in en maakt voor zichzelf een account aan met dezelfde rechten als de helpdesk. Dan heeft ie genoeg rechten om klantgegevens te lezen. Achteraf kun je echter in de logs (die door de helpdesk niet aangepast / gemanipuleerd / verwijderd kunnen worden) terugzien of ie dat ook daadwerkelijk gedaan heeft (en, zo ja, van welke klanten).
Blijft natuurlijk de vraag waarom iemand de moeite zou nemen om in te breken als ie, zodra ie binnen is, niks doet. Een verklaring is dat het enkel om nieuwsgierigheid / de kick ging, een andere verklaring is dat ie wel iets heeft gedaan, maar iets heel anders kan klantgegevens kopiëren. (Nog een andere verklaring is dat ie wel degelijk klantgegevens gekopieerd heeft maar dat ie dat gedaan heeft zonder dat KPN erachter is gekomen (of, inderdaad, dat ze glashard liegen).)
0 Typnix
@intraxi9 februari 2012 09:46
Dit is niet altijd waar. Ligt eraan of er een superuser of een user die genoeg rechten heeft overgenomen is. Je kan wel dagenlang toegang hebben gehad maar wil nog niet zeggen dat de user die over genomen is ook daadwerkelijk iets mag doen en dat is niet duidelijk.
0 alweereennaam
@intraxi9 februari 2012 11:24
Als het al gebeurt is......

Vergeet niet dat heel veel partijen momenteel voordeel halen door hackers in het kwade daglicht te stellen..

Zodat "Hackers" in de breedste vorm door het publiek word gezien als "BAD GUY".
En dan komt de overheid met redende regelgevingen die jou vrijheid gaan beperken, maar het is voor het "goede" doel, om de criminelende hackers tegen te gaan...

Dit bericht heeft alles van een HOAX.

Geen bewijs en in de trend dat het beschreven is, met dubbelle ontkenningen en vermoedens, maar geen feiten, erg twijfelachtig allemaal.
0 HotDoggie
@shishdem8 februari 2012 16:52
Dat vraag ik me ook af. Ben in elk geval ook benieuwd of het een Nederlandse hacker was of niet. Het lijkt er wel op dat KPN (al dan niet op advies van Fox-IT) geleerd heeft van de "houdt het onder de pet" -methode van Diginotar, aangezien ze het zelf op de site publiceren.
Anyweetjes: Kevin Mitnick had het ook altijd op telco's voorzien, misschien was Ghost in the Wires wel inspiratie voor de hacker(s) ;-) Ik vond het iig een prachtboek. Ook vooral omdat daarin heel duidelijk wordt hoe groot het belang van social enginering vaak is bij dit soort hacks. Hopelijk komt hier "ooit" nog eens veel meer info over naar buiten. KPN komt een stuk dichterbij dan de Cellular Subscribers Group oid.
0 Dead_End
@DreamCatchers8 februari 2012 19:18
Want het inbreken op de privégegevens van KPN-klanten is iets waar Anonymous baat bij heeft? Zo verlies je namelijk wel de sympathie van de bevolking.
Waar haal jij trouwens het idee vandaan dat Anonymous iets hiermee te maken heeft vandaan?
0 alweereennaam
@Dead_End9 februari 2012 11:28
Inderdaad!

Lijkt meer een bericht om "Hackers" in het algemeen in een kwaad daglicht te stellen.
En ja veel simpele zielen denken dan ow "Hackers" dat is toch Anonymous?
Die suggestie moet dus gewekt worden...

Maar dat heeft NIETS met Anonymous te maken.
+1 n4m3l355
@shishdem8 februari 2012 16:59
Het is goed mogelijk dat vanwege internationale authoriteiten KPN niet mag vrijlaten wat er precies is buit gemaakt. Een tijdje terug stond in de HBR een soort gelijk verhaal over wat te doen wanneer een Amerikaans bedrijf gehacked wordt wat de consequenties kunnen zijn. Het begint alleen al als het een bedrijf is dat binnen meerdere staten opereert ze de FBI dienen in te lichten. Daarnaast hebben ze direct een advocaten partij in de nek hangen die de burgers vertegenwoordigd en zo waren nog een tal van problemen die je eigenlijk als (Europese) buitenstaander niet verwacht.

Mij verwondert het dan ook niet echt meer na het lezen van een dergelijke casus dat bedrijven soms geheimzinnig over iets doen. Het is goed mogelijk als KPN deze informatie wel publiceert dat ze zelf een misdaad begaan. We kunnen dan ook niet veel meer (waarschijnlijk net zoals de KPN) dan afwachten.

En inderdaad, wie is hier nou eigenlijk verantwoordelijk voor...
0 Novah
8 februari 2012 16:47
Gerelateerd? nieuws: KPN kampt met storing mobiel internet - update
+1 Brummetje
@Novah8 februari 2012 16:48
Nee want de hack was vorige maand al, lijkt me dus sterk :)
0 FSVZ
@Brummetje8 februari 2012 17:02
Ook hoe de hack heeft plaatsgevonden, is onbekend.
Waarschijnlijk bestaat de vulnerability nog, en dus kunnen de hackers nog steeds terug keren (en mogelijk schade aanrichten). Zolang KPN geen openheid van zaken geeft zou ik het niet als "ongerelateerd" willen beschouwen.
+1 wph
8 februari 2012 16:48
En als deze hackers iets buit hebben gemaakt zal KPN dat eerst proberen te ontkennen. Blijkt dat ze wel iets buit hebben gemaakt, zullen ze zeggen dat het anonieme gegevens waren waar niemand iets mee kan. Wat er daadwerkelijk gebeurd is, zullen ze zo lang mogelijk geheim proberen te houden.
0 Weyland
@wph8 februari 2012 16:52
Hackers ontkennen niets. Die zijn hem al lang gesmeerd. KPN moet constateren of er gegevens zijn ontvreemd. Iets wat moeilijk te constateren is.
0 wph
@Weyland8 februari 2012 16:56
Nu ik mijn bericht zo terug lees, was ik niet duidelijk genoeg, ik bedoelde KPN.
0 drdelta
@Weyland8 februari 2012 16:57
wph doelt waarschijnlijk op KPN met 'ze', niet de hackers.
0 iApp
8 februari 2012 16:50
Ik hoop dat ze geheime dossiers hebben buitgemaakt waarin de afspraak tussen telecom providers over de datalimieten staan. *

Dat kan een reden zijn waarom de hacker wilde indringen bij KPN.
+1 MeNTaL_TO
@iApp8 februari 2012 16:54
Al zou dat gevonden zijn, wie geloofd die hacker als die dat bekend zou maken? Het mag niet gebruikt worden in een proces.
0 latka
@MeNTaL_TO8 februari 2012 19:42
Maar de reputatieschade zou genoeg zijn. Tevens zou de openbaring van een dergelijk document leiden tot een diepgravend onderzoek door de NMa (en natuurlijk springt de 2e kamer er ook bovenop ;)
+1 Sissors
@iApp8 februari 2012 17:01
Als we weer met beide benen op de aarde zijn, zijn er twee realistische mogelijkheden waarom hackers dit gedaan hebben: Aandacht of geld, danwel beide.
0 Weyland
8 februari 2012 16:51
Dus als ik het goed begrijp... Ze hebben het probleem opgelost maar ze weten niet wat het probleem (exploit) was?
0 latka
@Weyland8 februari 2012 19:43
Geen wonder dat ze de Getronics de deur uitdoen, als ze al niet in staat zijn een gat te dichten in het netwerk, wat kunnen ze dan wel ?
+1 [ti]
8 februari 2012 16:53
De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
De overige servers blijven nog wel toegankelijk voor de hacker? Als een soort van honeypot?
+1 Foamy
8 februari 2012 16:54
Uit de bron van het artikel:
KPN heeft de relevante instanties geïnformeerd: het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta, het Ministerie van Economische Zaken, Landbouw & Innovatie, het Ministerie van Veiligheid & Justitie en het Openbaar Ministerie.
Waarom lees ik hier niet dat klanten waarvan deze gegevens mogelijkerwijs op straat liggen worden geïnformeerd?

edit:

Volgens het bericht van KPN heeft de hacker ook toegang gehad tot klantgegevens:
De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
Zeker in dat geval lijkt het informeren van de getroffen klanten mij toch het minste dat je kunt doen als bedrijf zijnde. Leuk dat allerlei instanties op de hoogte worden gebracht, maar diegenen die dit direct zou raken krijgen niks te horen!

[Reactie gewijzigd door Foamy op 8 februari 2012 17:10]

+1 Alpha Bootis
@Foamy8 februari 2012 17:00
Als het om één of andere triviale server gaat valt de schade wel mee en lijkt me er weinig toegevoegde waarde hebben paniek te zaaien.
Denk dat je eerst het zwaarst mogelijke scenario wil bepalen en aan de hand daarop kijkt wat je doet met je klanten.
+1 Foamy
@Alpha Bootis8 februari 2012 17:07
Ook uit de bron:
De hacker is de toegang ontnomen tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer).
De hacker heeft dus (volgens het bericht van KPN) weldegelijk toegang gehad tot klantgegevens.
+1 ADQ
@Foamy8 februari 2012 18:12
Dat niet alleen: "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd".
Die gegevens zijn zijn/haar kant op gegaan, dus is er eigenlijk al een kopie gemaakt, in een cache, gedownload bestand of wat niet al.
Dat zal waarschijnlijk maar een deel zijn, puur wat er op het scherm heeft gestaan, maar toch. (Staat er in de logfiles van die servers eigenlijk goed vermeld hoeveel bytes etc en wat er naar een bepaalde verbinding gaat?)
+1 Noppes123
8 februari 2012 16:56
Ze (KPN) zijn volgens mij in ieder geval in overtreding omdat de Wet op de Privacy voorschrijft dat mogelijke diefstal van persoonsgegevens binnen 24 uur gemeld moet zijn bij de autoriteit (CBP). En aangezien ze maatregele genomen hebben om de hacker de toegang tot klantgegevens te ontzeggen waren die dus blijkbaar wel buit te maken binnen dat domein.
+1 ASS-Ware
@Noppes1238 februari 2012 18:34
Ze (KPN) zijn volgens mij in ieder geval in overtreding omdat de Wet op de Privacy voorschrijft dat mogelijke diefstal van persoonsgegevens binnen 24 uur gemeld moet zijn bij de autoriteit (CBP).
Waar lees jij dat dat niet is gebeurd ?
+1 Bas_Pierik
8 februari 2012 16:56
Zouden er op de servers van KPN ook bestanden staan van dochterbedrijven, zoals Hi?
+1 spartacusNLD
@Bas_Pierik8 februari 2012 17:04
je zou denken van wel.. hoop het niet want zit zelf bij Hi..
+1 Luukje01
8 februari 2012 17:08
Kamervragen!

'Er is echter geen bewijs dat gegevens zijn gekopieerd', dat is toch juist de kracht achter kopieren? geen sporen achterlaten..
+1 Nightjar
@Luukje018 februari 2012 17:35
Ja leuk, kopieren = lezen (access), kopieren (4us scanner checkt) en daarna schrijven.... Je laat altijd sporen na...

check van een willekeurig file system maar eens hoeveel je kan achterhalen bij bijv bestandseigenschappen.. probeer maar eens remote, met je commandline deze attribs te wijzigen.. en dan geen sporen achterlaten in de logging.. zal je niet meevallen..
+1 MneoreJ
@Nightjar8 februari 2012 17:55
Dat is wel erg naïef. Het is triviaal kopieertools te schrijven die die attributen niet wijzigen of achteraf netjes terugzetten op wat het was. Een virusscanner logt niet iedere bestandstoegang en zeker niet als het niet om executables gaat, en zelfs al deed hij dat wel, die zet ik als hacker natuurlijk uit en ik gooi de logs ook nog even weg.

Als de logging van het systeem er zo uit ziet:
* boosdoener@diepdonkerdal logged in on UNHACKABLE
* logging disabled on UNHACKABLE

Dan kun je daarna zeer weinig concluderen over wat er met de machine gebeurd is, en kopiëren (het lezen van data, waarbij het schrijven niet naar dezelfde machine gebeurt) is wel het meest ongrijpbare.

Als alle data die de machine kan aanspreken extern is, en de auditing van de externe data is aantoonbaar niet gecompromitteerd, dan kan ik er nog wat mee.
0 ASS-Ware
@MneoreJ8 februari 2012 18:36
Dan moeten ze auditting maar aan zetten, daar kun je elke file access mee loggen, maar ja, die logs worden wel erg groot als er veel access is.
+1 Segura
@MneoreJ8 februari 2012 22:17
Heel strict genomen laat elke handeling sporen na, dus ook remote access via command-line of wat dan ook. De enige manier om dit tegen te gaan is een write-blocker aansluiten en dan kopieren (NFRkitje), maar dan is er eerder sprake van inbraak dan van hacking wegens fysieke toegang
1 2 3

Op dit item kan niet meer gereageerd worden.