'Hack bij KPN kinderlijk eenvoudig door verouderde software'
Een groep hackers claimt kinderlijk eenvoudig het netwerk van KPN te zijn binnengedrongen doordat servers verouderde software draaiden. Zij zouden klantgegevens hebben buitgemaakt en ook klanten hebben kunnen afsluiten.
Afgelopen woensdag bevestigde KPN dat hackers hebben ingebroken en dat daarbij klantgegevens toegankelijk waren. De telecomaanbieder claimde dat alleen data als naw-gegevens opvraagbaar waren, maar een hacker die samen met anderen de systemen gekraakt zou hebben, zegt dat er veel meer mogelijk was.
De samenwerkende groep hackers, met onder andere Nederlanders en Russen, zou niet specifiek KPN hebben aangevallen maar op zoek zijn geweest naar kwetsbare systemen, zo meldt Nu.nl. Op een server die draaide op SunOS 5.8 en gebruikt werd voor het domein speedtest.wxs.nl, werd een kwetsbaar en niet bijgewerkt systeem gevonden.
Via een exploit zouden de hackers het interne netwerk hebben weten te bereiken om vervolgens wachtwoorden buit te maken en andere servers van KPN te kraken. Zo zouden zij toegang hebben verkregen tot een beheersysteem voor internetaansluitingen. In theorie zouden zij KPN-klanten in quarantaine hebben kunnen plaatsen of een internetverbinding zelfs geheel afsluiten.
In tegenstelling tot wat KPN liet weten, beweert de hacker dat de groep ook data heeft weten te downloaden. Het zou gaan om 16GB aan informatie. De aanvallers zouden de data echter hebben vernietigd omdat zij naar eigen zeggen alleen kwetsbaarheden bij het bedrijf wilden aantonen.
Bij KPN zouden kort na de ontdekking van de hack alle alarmbellen zijn gaan rinkelen. Het kondigde 'code rood' af, de hoogste alarmfase bij dergelijke incidenten. KPN was met name bevreesd dat de hackers de mogelijkheid zouden gebruiken om 112 te blokkeren bij klanten met een InternetPlusBellen-abonnement. De provider zou zelfs hebben overwogen om deze servers geheel uit te schakelen.
Van 27 januari tot 3 februari zouden ruim honderd mensen 24 uur per dag aan onderzoek hebben gewerkt, waarbij KPN assistentie kreeg van het National Cyber Security Center. Ook zou verouderde software van updates zijn voorzien. KPN heeft aangifte gedaan bij het Openbaar Ministerie en het incident ook gemeld bij de OPTA en het Ministerie van Economische Zaken.
Reacties (119)
Oei, ook gegevens van andere dochters zoals Xs4all misschien?
XS4ALL heeft echt eigen systemen. Dus denk het niet.
Ik hoop dat het feit dat KPN feitelijk gemeld heeft dat de software niet gepatched was in een forse boete voor ze resulteert, de privacy van klanten schijnt niet echt hoog in het vaandel te staan
Update, 11 februari11.20:
De toezichthouder voor de telecommarkt Opta gaat onderzoek doen naar de hack bij KPN. "Uit het onderzoek moet blijken of KPN genoeg maatregelen heeft genomen om te zorgen dat de beveiliging op orde is", zegt een woordvoerder van Opta tegen de NOS.
Update, 11 februari11.20:
De toezichthouder voor de telecommarkt Opta gaat onderzoek doen naar de hack bij KPN. "Uit het onderzoek moet blijken of KPN genoeg maatregelen heeft genomen om te zorgen dat de beveiliging op orde is", zegt een woordvoerder van Opta tegen de NOS.
[Reactie gewijzigd door Kees de Jong op 11 februari 2012 15:01]
Is het niet zo dat hacken hoe dan ook verboden is. Het feit dat bij KPN niet alle (beveiligings-)software up-to-date was, houdt niet in dat je daar als hacker dan maar gebruik van mag maken lijkt me. Ik zou het terecht vinden als KPN op zijn nummer gezet word, maar volgens mij kun je juridisch geen stappen ondernemen.
Je hoort tegenwoordig steesds vaker dat in systemen klantgegevens buitgemaakt zijn, dus in die zin zou ik het wel terecht vinden als daar regels voor komen die een aansprakelijkheid omschrijven wat betreft beveiligingen en beveiligingsupdates, maar bij mijn zijn die er nog niet.
Je hoort tegenwoordig steesds vaker dat in systemen klantgegevens buitgemaakt zijn, dus in die zin zou ik het wel terecht vinden als daar regels voor komen die een aansprakelijkheid omschrijven wat betreft beveiligingen en beveiligingsupdates, maar bij mijn zijn die er nog niet.
Als klant word je vaak toch gedwongen om hun netwerk te kiezen, omdat er geen alternatieven zijn, dus het klantverlies zal ook meevallen 
Ik had mijn abonnement al opgezegd omdat ik een tijdje terug al signalen kreeg dat er 'onbevoegden' in de KPN systemen rondneusden waarbij men simpelweg weigerde om er wat aan te doen. Stilhouden was het motto. KPN werd niet bij naam genoemd, maar een aantal reacties wees wel in die richting. Hoewel ik ervan uitga dat dit een andere hack is dan degene destijds, blijf je natuurlijk een 'sitting duck' als je zo slecht met patches en je systemen omgaat.
Ik kan ook koppig weigeren om een dak op mijn huis te zetten en dan vervolgens de regen de schuld geven dat ik nat wordt. Echter kan ik beter wel een dak bouwen zodat ik én droog blijf én ik later niet anderen (terecht of onterecht) de schuld hoef te geven.Het feit dat bij KPN niet alle (beveiligings-)software up-to-date was, houdt niet in dat je daar als hacker dan maar gebruik van mag maken lijkt me.
[Reactie gewijzigd door Rick2910 op 10 februari 2012 09:46]
Dat cracken illegaal is ontslaat KPN niet van de juridische plicht om deugdelijke systemen te hebben. Zie bijvoorbeeld de Wet Bescherming Persoonsgegevens:Het feit dat bij KPN niet alle (beveiligings-)software up-to-date was, houdt niet in dat je daar als hacker dan maar gebruik van mag maken lijkt me. Ik zou het terecht vinden als KPN op zijn nummer gezet word, maar volgens mij kun je juridisch geen stappen ondernemen.
Artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. [...]
bron: http://wetten.overheid.nl...ldigheidsdatum_10-02-2012
vergeet niet dat ondanks dat de deur wellicht niet het beste slot heeft het verboden blijft om te kijken of dat wel of niet zo is. (het verkrijgen van onrechtmatige toegang tot...) daar is al duidelijke jurisprudentie over in bijvoorbeeld het beveiligen van wifi netwerken waar het idd makkelijk is om wep wachtwoorden te hacken maar het nog steeds niet is toegestaan.
Eens maar dit staat los van de verantwoordelijkheid van KPN.
DUS alsnog rede voor een onderzoek en mogelijke boete
edit, dus juridisch / imho,
hacken = niet lief
niet beschermen gegevens = ook niet lief
waarbij ik niet beschermen van gegevens moraal minder netjes vind als het hacken om gaten aan te geven.
DUS alsnog rede voor een onderzoek en mogelijke boete
edit, dus juridisch / imho,
hacken = niet lief
niet beschermen gegevens = ook niet lief
waarbij ik niet beschermen van gegevens moraal minder netjes vind als het hacken om gaten aan te geven.
[Reactie gewijzigd door Nounours op 10 februari 2012 18:56]
Ja off topic maar wel grappige woordspelingals KPN op zijn nummer gezet word
Ik begrijp niet dat bij dit soort lekken het CBP niet ingrijpt. Het lijkt me aan de hand van de beschrijving hierboven echt een overtreding van artikel 13 van de WBP...
Artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
verkeerde mensen weg bezuinigd bij KPN ? waardoor huidige systeem beheerder niet wist van het bestaan van deze zwakke plek ?
kan...vroeger bij mij op het werk dacht ik ook van...' hey waar is deze rack nog eigenlijk voor? "
bij kpn is dat vele vele malen groter in omvang dus het lijkt mij niet onmogelijk dat je een paar server racks over het hoofd zien en die je liever zo laat dan even te gaan ontkoppelen
" bij kpn is dat vele vele malen groter in omvang dus het lijkt mij niet onmogelijk dat je een paar server racks over het hoofd zien en die je liever zo laat dan even te gaan ontkoppelen
hahahaha inderdaad
...maar dit begrijp ik niet...
Ze hebben tenslotte volgens de wet en de afspraak met de klanten "de hoogst mogelijke" veiligheid te garanderen....
En dit kun je nu echt niet wegmoffelen met..we zijn er mee bezig dus we zijn in "compliance"....
...maar dit begrijp ik niet...
Zijn ze bij KPN dan niet bang dat justitie KPN zelf niet aanpakt vanwege MOEDWILLIGE nalatigheid?KPN heeft aangifte gedaan bij het Openbaar Ministerie
Ze hebben tenslotte volgens de wet en de afspraak met de klanten "de hoogst mogelijke" veiligheid te garanderen....
En dit kun je nu echt niet wegmoffelen met..we zijn er mee bezig dus we zijn in "compliance"....
Staat toch ook al half in het artikel:
Dus ja, uit onwetendheid dan maar aangifte doen omdat je er anders wel heel gekleurd op staat.
Volgens mij hebben ze geen idee wat ze aan het doen zijn als ze 7 dagen 24 uur per dag met 100 man bezig zijn...Van 27 januari tot 3 februari zouden ruim honderd mensen 24 uur per dag aan onderzoek hebben gewerkt
Dus ja, uit onwetendheid dan maar aangifte doen omdat je er anders wel heel gekleurd op staat.
Net het 20.00 uur van de NOS gezien: aangifte doen tegen de hackers. Als het echt zo gemakkelijk was, zelfs meerdere dagen, KPN binnen te komen, lees door niet (lees: meerdere dagen te laat) gepatchte systemen, dan:[...]
Dus ja, uit onwetendheid dan maar aangifte doen omdat je er anders wel heel gekleurd op staat.
- is het een grof schandaal dat de servers niet gepatch waren,
- is het je reinste chantage naar (toekomstige) hackers om slechte beveiliging maar "verstopt" te houden,
- is KPN een ronduit niet te vertrouwen organisatie.
Ik was al nooit gelukkig met de "commerciële trucs" van KPN. Maar dit doet echt de deur dicht. Ze liggen er nu echt voorgoed uit bij mij, als dit allemaal waar is.
[Reactie gewijzigd door Xubby op 9 februari 2012 20:16]
Tjonge, je hebt er ook wel veel last van gehad he?
zal wel meevallen denk ik.(dat hij direct las van heeft gehad.)
Maar het is toch 1 van de eerste dingen dat je het systeem uptodate houd.
Ok dat als er een nieuwe patch is niet direct als een zotte alle systemen gaat updaten( mocht er een bug in zitten.
Je laat je virusscan toch ook niet 1 keer per week maar updaten.(Tegenwoordig elkedag).
Nalatigheid dat is zeker maar het is volgens mij nog net geen uitlokking.
zelf benieuwd naar de ander dochter ondernemingen of die ook zo kwetsbaar waren van kpn.
Niet dat je nu zomaar onder je contract uit kunt.
Maar het is toch 1 van de eerste dingen dat je het systeem uptodate houd.
Ok dat als er een nieuwe patch is niet direct als een zotte alle systemen gaat updaten( mocht er een bug in zitten.
Je laat je virusscan toch ook niet 1 keer per week maar updaten.(Tegenwoordig elkedag).
Nalatigheid dat is zeker maar het is volgens mij nog net geen uitlokking.
zelf benieuwd naar de ander dochter ondernemingen of die ook zo kwetsbaar waren van kpn.
Niet dat je nu zomaar onder je contract uit kunt.
[Reactie gewijzigd door Offens1490 op 9 februari 2012 21:22]
Je geeft zelf al aan dat je niet als een zotte iedere patch moet installeren maar wat als bepaalde patches je meer schade als goed doen (lees ze veroorzaken problemen in bedrijfs cruciale software) gaat het dan geen gecalculeerd risico worden dat betreffend lek een probleem kan veroorzaken?
Als je 1 systeem met 1 niet belangrijke applicatie hebt dan zal je inderdaad een eikel wezen als je niet meteen update.
Als je tientallen servers hebt draaien met diverse applicaties die bij onbeschikbaarheid meteen een groot probeem opleveren (zoals niet kunnen internetbankieren bij ING) dan zal je een eikel wezen als je niet eerst de boel goed test voordat je gaat updaten.
Uiteraard moet je ook nog rekening houden met de kans en de impact.
Ik betwijfel of je dan ook over nalatig kunt spreken, hooguit of traagheid.
Een dochteronderneming kan trouwens niet 'het contract' ontbinden. Een dochteronderneming is (en blijft tot faillissement of verkoop) eigendom van de moederonderneming.
Als je tientallen servers hebt draaien met diverse applicaties die bij onbeschikbaarheid meteen een groot probeem opleveren (zoals niet kunnen internetbankieren bij ING) dan zal je een eikel wezen als je niet eerst de boel goed test voordat je gaat updaten.
Uiteraard moet je ook nog rekening houden met de kans en de impact.
Ik betwijfel of je dan ook over nalatig kunt spreken, hooguit of traagheid.
Een dochteronderneming kan trouwens niet 'het contract' ontbinden. Een dochteronderneming is (en blijft tot faillissement of verkoop) eigendom van de moederonderneming.
hij bedoelde onze contracten met KPN denk ik. lijkt mij namelijk dat je daar nu best van af wil als ze "kennelijk" zo omgaan met veiligheid. kmoet eerlijk zeggen dat deze hackers het een stuk beter hebben gedaan dan die van lulzsec en anonymus, maar nog steeds fout bezig zijn.
@ Het Draakje:
Voor de duidelijkheid, 5.9 is gereleased in 2002/2003, versie 5.10 is uit 2005, 5.11 is in 2 smaken uitgebracht in 2010 en 2011.
En om het verhaal helemaal compleet te maken, de support vanuit SUN voor 5.8 is over 1 maand geheel afgelopen, in maart 2012 is het EoS.
Naar mijn mening genoeg feiten om rustig de bewering aan te durven dat het op dit moment in een operationele omgeving draaien van een SunOS 5.8 machine die gaten vertoont weldegelijk getuigt van nalatig en traag systeembeheer.
Als je weet dat SunOS 5.8 een release uit het jaar 2000 is, kun je toch moeilijk met droge ogen gaan beweren dat er hier geen sprake van traagheid is.........Ik betwijfel of je dan ook over nalatig kunt spreken, hooguit of traagheid.
Voor de duidelijkheid, 5.9 is gereleased in 2002/2003, versie 5.10 is uit 2005, 5.11 is in 2 smaken uitgebracht in 2010 en 2011.
En om het verhaal helemaal compleet te maken, de support vanuit SUN voor 5.8 is over 1 maand geheel afgelopen, in maart 2012 is het EoS.
Naar mijn mening genoeg feiten om rustig de bewering aan te durven dat het op dit moment in een operationele omgeving draaien van een SunOS 5.8 machine die gaten vertoont weldegelijk getuigt van nalatig en traag systeembeheer.
[Reactie gewijzigd door DivxLover op 10 februari 2012 07:56]
Met andere woorden, ze draaiden gewoon een gesupport OS. Ja, er zijn nieuwere versies van dat OS te koop, en er zou een plan moeten zijn om die per maart 2012 aan te schaffen danwel de server uit te faseren. Maar er is geen noodzaak om een kunstmatige EoS datum te hanteren voor de echte.
Wat wel nalatigheid is, is om de beschikbare patches niet te installeren. Dat zou precies even nalatig zijn als je SunOS 5.11 uit 2011 had gebruikt, en heetf geen bal met de leeftijd van het OS te maken.
Wat wel nalatigheid is, is om de beschikbare patches niet te installeren. Dat zou precies even nalatig zijn als je SunOS 5.11 uit 2011 had gebruikt, en heetf geen bal met de leeftijd van het OS te maken.
Het draaien van SunOS 5.8 an sich, ook al is het uit 2000, is geen nalatigheid, het wordt immers nog ondersteund, ook al is het nog maar één maand.. Wel is het niet patchen van bekende lekken in deze nalatigheid. Ook is, gezien de support over één maand afloopt wel dat men inderdaad het upgrade-pad wel al uitgestippeld moet hebben en volledig getest. Als 1 dag na die ene maand een kritiek lek bekend wordt, zal men gelijk die upgrade moeten uitvoeren en dat zou men daar, ook als er geen lek meer bekend is, dus ook moeten doen.
edit: eigenlijk zeg ik dus precies hetzelfde als MSalters hierboven, maar dan in andere bewoordingen.
edit: eigenlijk zeg ik dus precies hetzelfde als MSalters hierboven, maar dan in andere bewoordingen.
[Reactie gewijzigd door BeosBeing op 16 februari 2012 08:37]
Nouja, ze hebben toch wel degelijk software geïnstalleerd, en het zelf niet gemeld aan politie?
Waarom is het dan chantage dat KPN aangifte doet?
Waarom is het dan chantage dat KPN aangifte doet?
En jij denkt dat het bij veel andere providers niet kan gebeuren ?
Bij elk groot bedrijf besstaat helaas de kans dat zo iets gebeurd. Lees het nieuws maar
Bij elk groot bedrijf besstaat helaas de kans dat zo iets gebeurd. Lees het nieuws maar
Niet alleen bij elk groot bedrijf, maar ook bij elk klein bedrijf.En jij denkt dat het bij veel andere providers niet kan gebeuren ?
Bij elk groot bedrijf besstaat helaas de kans dat zo iets gebeurd. Lees het nieuws maar
En alles daar tussenin.
Best practices nemen, zoals QNX.
[Reactie gewijzigd door kimborntobewild op 10 februari 2012 08:21]
Al ben je met 10.000 bezig voor een jaar lang... Als in de dagen daarna een bug wordt gevonden en die kan worden geëxploit, dan heb je voor wat betreft die bug nog steeds niks aan die 10.000 manjaren.Volgens mij hebben ze geen idee wat ze aan het doen zijn als ze 7 dagen 24 uur per dag met 100 man bezig zijn...
Dus ja, uit onwetendheid dan maar aangifte doen omdat je er anders wel heel gekleurd op staat.
Net als de gebruiker ioor vind ik dit belachelijk,KPN heeft aangifte gedaan bij het Openbaar Ministerie en het incident ook gemeld bij de OPTA en het Ministerie van Economische Zaken.
Deze hackers hebben het gedaan om zwakheden op te merken.
Niet om doodleuk mensen af te sluiten en of gegevens te stelen.
Daarom vind ik eigenlijk dat KPN blij met ze moet zijn en ze wat aanbieden,
dat laatste hoeft natuurlijk niet maar liever een goedaardige hacker dan een kwaadaardige.
Verder vind ik het belachelijk dat deze bedrijven er niet vervolgd voor (kunnen) worden,
Het gaat hier om gegevens van duizenden mensen die gewoon niks doorhebben,
Ze moffelen het liefst alles weg en doen alsof er niks aan de hand is.
Verder zeggen ze dat ze met 100 man 24/7 bezig zijn,
Ik heb het gevoel dat ze dat alleen zeggen om mensen gerust te stellen.Van 27 januari tot 3 februari zouden ruim honderd mensen 24 uur per dag aan onderzoek hebben gewerkt, waarbij KPN assistentie kreeg van het National Cyber Security Center.
En zo zie je maar weer die bedrijven hebben hun zaakjes niet op orde,
En ik heb het gevoel dat er nog genoeg zijn die het ook niet op orde hebben
[Reactie gewijzigd door danielmi op 9 februari 2012 21:50]
Ik ben het volledig met je eens! Het zijn ditmaal niet de hackers die fout bezig waren, maar (wederom) KPN zelf. Het is goed dat goedwillende hackers de zwakheden laten zien... Want in verkeerde handen was er een serieus probleem geweest.
KPN zou eens wat minder moeten kijken hoe ze mensen uit de laan kunnen trappen en investeren in software. Geen wonder dat zo'n bedrijf nog winst maakt als ze hn software niet bijhouden...
Dat ze aangifte doen slaat dan ook geheel de plank mis, er is namelijk een groter kwaad voorkomen. Het doet mij meer denken aan het feit dat ze proberen (verder) gezichtsverlies te voorkomen. Dit lijkt in ieder geval niet hetbjaar te worden van KPN....
KPN zou eens wat minder moeten kijken hoe ze mensen uit de laan kunnen trappen en investeren in software. Geen wonder dat zo'n bedrijf nog winst maakt als ze hn software niet bijhouden...
Dat ze aangifte doen slaat dan ook geheel de plank mis, er is namelijk een groter kwaad voorkomen. Het doet mij meer denken aan het feit dat ze proberen (verder) gezichtsverlies te voorkomen. Dit lijkt in ieder geval niet hetbjaar te worden van KPN....
dit klinkt dus echt alsof ik ga inbreken bij mensen puur en alleen om een paspoort te jatten en vervolgens contact opneem om te zeggen dat het alarm niet goed werkt. dat doe je toch ook niet?
Nee, er staat een deur open je neemt het passport mee en gooit het direct in een envelope door de brievenbus met de mededeling, uw deur stond open.
KPN zou hier een flinke boete voor moeten krijgen, zo met privedata van hun klanten omgaan.
KPN zou hier een flinke boete voor moeten krijgen, zo met privedata van hun klanten omgaan.
Ben ik met je eens.
De intentie van de hackers kan goed zijn maar inbreken om aan te tonen dat de beveiliging niet goed is blijft inbreken.
KPN mag inderdaag blij zijn dat het goedaardige hackers zijn maar ze staan volledig in hun recht om aangifte te doen.
De intentie van de hackers kan goed zijn maar inbreken om aan te tonen dat de beveiliging niet goed is blijft inbreken.
KPN mag inderdaag blij zijn dat het goedaardige hackers zijn maar ze staan volledig in hun recht om aangifte te doen.
Dat het je recht is om aangifte te doen betekent niet dat je het ook moet doen.
Op deze manier jaag je alle goedwillenden weg en worden gaten alleen nog ontdekt door kwaadwillenden. En omdat veel minder bekend wordt voelen mensen en bedrijven zich onterecht veilig en worden (indien mogelijk) nog lakser.
En kun je plots niet meer bellen of internetten.
Op deze manier jaag je alle goedwillenden weg en worden gaten alleen nog ontdekt door kwaadwillenden. En omdat veel minder bekend wordt voelen mensen en bedrijven zich onterecht veilig en worden (indien mogelijk) nog lakser.
En kun je plots niet meer bellen of internetten.
KPN heeft dit gedaan omdat zij (volgens mij nog niet verplicht maar dit zal wel snel komen) een wettelijke meldplicht hebben in geval van een hack waarbij persoonlijke gegevens inzichtelijk zijn geworden....maar dit begrijp ik niet...
KPN heeft aangifte gedaan bij het Openbaar Ministerie
Zijn ze bij KPN dan niet bang dat justitie KPN zelf niet aanpakt vanwege MOEDWILLIGE nalatigheid?
Of zij uiteindelijk aangeklaagd (kunnen) worden voor nalatigheid weet ik niet, maar zal tot de mogelijkheid in de vorm van boetes kunnen behoren als dit zo is.
edit: MOEDwillige nalatigheid impliceert dat zij bewust en willens en wetens een besluit hebben genomen om de systemen niet meer te patchen/updaten. Ik denk niet dat dit het geval is geweest maar eerder een geval van nalatigheid door niet gevolgde procedures of goed patchbeheer.
[Reactie gewijzigd door imagica op 10 februari 2012 07:48]
Huh? Je zou mogen verwachten dat KPN hiervoor kundig personeel in huis heeft, die logs bijhouden en service/update plannen en laten uitvoeren. Kortom, elk rack, hou oud ook, zou geregistreerd moeten staan met hun eigen service-log.
Het kan wel namelijk, als je ziet dat ze op sommige terreinen alles tot in de puntjes geregeld hebben. Vooral als het om inkomsten gaat
Het kan wel namelijk, als je ziet dat ze op sommige terreinen alles tot in de puntjes geregeld hebben. Vooral als het om inkomsten gaat
Hahaha dit bericht valt compleet samen met de ervaringen die ik daar zelf heb gehad toen ik op de MSD afdeling van kpn werkte. Wat een ongelooflijke bende van bejaarde systemen is het daar zeg...
Hoe KPN nu kan weten dat de hackers de binnengehengelde 16GB weer hebben gewist is niet duidelijk gemaakt. Daar hecht is dus geen geloof aan.
Als KPN klant nog helemaal niets van hen vernomen hierover. Triest.
Als KPN klant nog helemaal niets van hen vernomen hierover. Triest.
De info over de vernietiging van de 16GB, kwam van 1 van de hackers zelf..... Heeft KPN weinig tot geen invloed op... 
Dan is het nog steeds niet geloofwaardig.
Dit hebben ze zelfs rondgetweet en op hun eigen nieuwspagina geplaatst.
Hoeveel duidelijker wil je het hebben?
Hoeveel duidelijker wil je het hebben?
Volgens KPN's eigen code of conduct verplichten zij zichzelf om b.v. OPTA, maar vooral ook de betrokken klanten op de hoogte te brengen van het blootstellen van hun privé gegevens en wat men er aan gedaan heeft om dit in de toekomst te voorkomen.
OPTA e.d. instanties zijn op de hoogte, maar ik ben zeer benieuwt of ze nu ook de betrokken klanten gaan informeren
OPTA e.d. instanties zijn op de hoogte, maar ik ben zeer benieuwt of ze nu ook de betrokken klanten gaan informeren
dan vraag je erom
Een actieve server hebben dat draait op SunOS 5.8 dat uit het jaar 2000! komt ! en dan niet eens dichtgetimmert hebben op allelei bestaande lekken.
en trouwens... wat doet een server van wxs nog online anno 2012? Die trek je toch gewoon even eraf.
/edit ....ik denk trouwens dat er voor die server niet meer eens een beheerder was. Waarschijnlijk was er enkele jaren geleden(van de naamsverandering) door de netwerkarchitect van KPN niet goed gekeken dat deze afgekoppeld kon worden en al die jaren gewoon is blijven doordraaien terwijl het niet meer hoefde.
dan kan je die beheerders ook niet kwalijk nemen, want die zien ook niet in zo een gigantische serverpark.
Een actieve server hebben dat draait op SunOS 5.8 dat uit het jaar 2000! komt ! en dan niet eens dichtgetimmert hebben op allelei bestaande lekken.
en trouwens... wat doet een server van wxs nog online anno 2012? Die trek je toch gewoon even eraf.
/edit ....ik denk trouwens dat er voor die server niet meer eens een beheerder was. Waarschijnlijk was er enkele jaren geleden(van de naamsverandering) door de netwerkarchitect van KPN niet goed gekeken dat deze afgekoppeld kon worden en al die jaren gewoon is blijven doordraaien terwijl het niet meer hoefde.
dan kan je die beheerders ook niet kwalijk nemen, want die zien ook niet in zo een gigantische serverpark.
[Reactie gewijzigd door SonyEricsson op 9 februari 2012 19:22]
Nou ja, die werd nog ondersteund tot maart 2012 maar dan moet je wel updaten!
haha ja dat bedoel ik dus.
misschien dacht de beheerder van ....' hmmm ondersteuning tot maart 2012.......dan update ik alles wel op a.s. 28 februari ., gelijk alle updates binnen en dan hoef ik er niet meer naar om te kijken voor de komende 10 jaar "
misschien dacht de beheerder van ....' hmmm ondersteuning tot maart 2012.......dan update ik alles wel op a.s. 28 februari ., gelijk alle updates binnen en dan hoef ik er niet meer naar om te kijken voor de komende 10 jaar "
Kan zelfs op 29 februari dit jaar
Door achterstallige updates op 29 februari een gigantische storing omdat het hele systeem op zn hol ligt omdat ie updates aan het binnenhengelen is van enkele gigabytes
Daarna ook nog wel. Maar dan komen er geen nieuwe updates bij.
Ik denk dat dit een resultaat is van verschillende overnames. Helaas gaat het bij meerdere bedrijven zo. Afdelingen moeten samenwerken, afdelingen worden opgeheven en uiteindelijk zijn er servers waar niemand meer het bestaan van weet.\
Helaas kan ik nog wel wat meer bedrijven opnoemen waarbij dit het geval is
Helaas kan ik nog wel wat meer bedrijven opnoemen waarbij dit het geval is
En niemand neemt "de inventaris" op na/bij een overname 
Die inventaris is er wel maar niemand die de "oude meuk" onder beheer wil nemen. Die mensen worden meteen "gesacked'.
Al met al een bekend verhaal waar ik meerdere voorbeelden van in de praktijk ben tegen gekomen.
Ik probeer het niet goed te praten. Zeker niet als deze machine als front-end is ingezet. Ik probeer alleen maar te zeggen dat dit uiteraard niet de laatste is.
Al met al een bekend verhaal waar ik meerdere voorbeelden van in de praktijk ben tegen gekomen.
Ik probeer het niet goed te praten. Zeker niet als deze machine als front-end is ingezet. Ik probeer alleen maar te zeggen dat dit uiteraard niet de laatste is.
quote
en trouwens... wat doet een server van wxs nog online anno 2012? Die trek je toch gewoon even eraf.
Mijn mail box staat nog steeds op wxs.
En dat werkt nog steeds.
en trouwens... wat doet een server van wxs nog online anno 2012? Die trek je toch gewoon even eraf.
Mijn mail box staat nog steeds op wxs.
En dat werkt nog steeds.
Nou nou nou...ze mochten wel investeren in vernieuwde software/servers ipv verbeterde netwerken (als KPN die servers beheerd).
Je wilt niet weten hoeveel verouderde systemen binnen bank- en verzekeringswezen worden gebruikt. Natuurlijk, niet alles zit aangesloten op het net. Maar met de vele webapplicaties tegenwoordig worden er -tig koppelingen gemaakt, denk ik dat het een kwestie van tijd met nieuwe hacks. Kosten/baten analyse versus beveiliging/datalekken
Dat zo'n hack misschien niet de goede oplossing is, maar dit is toch gewoon nalatigheid van KPN, KPN heeft een bepaalde verantwoordelijkheid t.o.v. persoonsgegevens, waar dit toch doet lijken dat ze zich daar niet voor ingezet hebben.KPN heeft aangifte gedaan bij het Openbaar Ministerie en het incident ook gemeld bij de OPTA en het Ministerie van Economische Zaken.
Tuurlijk is het zowel nalatig als een ontzettende FAAL van KPN maar dat maakt het niet minder strafbaar voor een hacker, dus aangifte.
Komt nog bij dat ze verplicht zijn als telco dit te melden bij de OPTA.
Hoop dat dit weer laat zien hoe belangrijk een up to date systeem is en in hoeverre een systeembeheer met kennis (die zeer zeldzaam worden) belangrijk is voor je organisatie.
Komt nog bij dat ze verplicht zijn als telco dit te melden bij de OPTA.
Hoop dat dit weer laat zien hoe belangrijk een up to date systeem is en in hoeverre een systeembeheer met kennis (die zeer zeldzaam worden) belangrijk is voor je organisatie.
Mijn God, wat een amateurs daar bij, een miljarden bedrijf, als KPN. Hoe krijgen de beheerders het voor elkaar om een systemen domweg niet up te daten. Ik hoop dat het OM een onderzoek instelt naar KPN in verband met nalatigheid.
Helaas beslissen mensen die minder verstand van techniek hebben over de budgetten van afdelingen, dat is in mijn ervaring vaak de oorzaak van achterstand op technisch vlak.
mijn conclusie straks na jaren hack festijnen.
zal de regering de bevolking 2 keuzes geven
1 overal gaan censureren ,gebruikers afsluiten , website afsluiten ect die niet binnen hun richtlijnen vallen.
2 open internet maar dan letterlijk open dus voor consumenten geen vpn encryptie of iets in die richting.
zodat als iemand iets foute doet voorbeeld kinderporno plaatsen is hij makkelijk achter te hallen omdat die persoon encryptie gebruikt of makkelijk te traceren valt.
natuurlijk zullen er uitzonderingen komen voor bedrijven.
bijvoorbeeld veelgebruikte diensten als gmail, hotmail,ect.
dat is de enige richtingen denk ik die wij zullen moeten kiezen.
want je kan altijd de nieuwste duurste beveiliging hebben, je zult het altijd verliezen want alles valt te hacken!!!
zal de regering de bevolking 2 keuzes geven
1 overal gaan censureren ,gebruikers afsluiten , website afsluiten ect die niet binnen hun richtlijnen vallen.
2 open internet maar dan letterlijk open dus voor consumenten geen vpn encryptie of iets in die richting.
zodat als iemand iets foute doet voorbeeld kinderporno plaatsen is hij makkelijk achter te hallen omdat die persoon encryptie gebruikt of makkelijk te traceren valt.
natuurlijk zullen er uitzonderingen komen voor bedrijven.
bijvoorbeeld veelgebruikte diensten als gmail, hotmail,ect.
dat is de enige richtingen denk ik die wij zullen moeten kiezen.
want je kan altijd de nieuwste duurste beveiliging hebben, je zult het altijd verliezen want alles valt te hacken!!!
[Reactie gewijzigd door raro007 op 9 februari 2012 19:14]
Als alles valt te hacken (wat niet zo is) kunnen we beter het internet helemaal afzetten.
Ik denk dat het meer een probleem is van bedrijven die bezuinigen op beveiliging ondanks alle hacks die dagelijks in het nieuws komen.
Ik denk dat het meer een probleem is van bedrijven die bezuinigen op beveiliging ondanks alle hacks die dagelijks in het nieuws komen.
[Reactie gewijzigd door Soldaatje op 9 februari 2012 19:20]
Dit is nalatigheid, dat is van alle tijden en daarvoor moet imho kpn ook strafrechtelijk voor worden vervolgd imho, tijd om verantwoordelijkheid te nemen.
Nalatigheid.? kerel verdiep je eens in het woord net zoals anderen die dit noemen.
Als je je uitspraak voor wet en waar zou aannemen dan kan ik dus met een FBI/AIVD/FIOT ect ect bij jou komen binnenvallen, ja je leest het goed binnenvallen en domweg om de volgende reden.
Is jou pc up to date.? en alles aan software. en nou niet zeggen ik update elke week want dan ben je dus ook al een week lang kwetsbaar.. snap je hem..
Kortom je bent strafbaar bezig en je zou mij en mijn netwerk in gevaar hebben kunnen brengen, je zou opgepakt en veroordeeld moeten worden om de reden dat je je zooi niet bijgehouden hebt.
Al draai je nu je updates dan ben je nog over een half uur te hacken, zo simpel is het nu eenmaal. Het is een kwestie van de juiste tools en de wetenschap van software systemen.
Als jij niet door een firewall komt dan kan en mag een server achter in het systeem best niet geupdate zijn, en is die niet te hacken omdat de firewall zijn werk doet. Je moet wel naar het systeem in zijn geheel kijken en niet naar die ene "overname server".
Ook jij bent nu te hacken hoor al denk je dat je veilig bent, en als tweakers er zoveel verstand van hebben waarom staat dan die vraag "hoe kom ik in mijn router ik heb de cd niet meer" zovaak op het forum.? een tweaker is nog geen kennis persoon in een bepaald systeem.
Als je je uitspraak voor wet en waar zou aannemen dan kan ik dus met een FBI/AIVD/FIOT ect ect bij jou komen binnenvallen, ja je leest het goed binnenvallen en domweg om de volgende reden.
Is jou pc up to date.? en alles aan software. en nou niet zeggen ik update elke week want dan ben je dus ook al een week lang kwetsbaar.. snap je hem..
Kortom je bent strafbaar bezig en je zou mij en mijn netwerk in gevaar hebben kunnen brengen, je zou opgepakt en veroordeeld moeten worden om de reden dat je je zooi niet bijgehouden hebt.
Al draai je nu je updates dan ben je nog over een half uur te hacken, zo simpel is het nu eenmaal. Het is een kwestie van de juiste tools en de wetenschap van software systemen.
Als jij niet door een firewall komt dan kan en mag een server achter in het systeem best niet geupdate zijn, en is die niet te hacken omdat de firewall zijn werk doet. Je moet wel naar het systeem in zijn geheel kijken en niet naar die ene "overname server".
Ook jij bent nu te hacken hoor al denk je dat je veilig bent, en als tweakers er zoveel verstand van hebben waarom staat dan die vraag "hoe kom ik in mijn router ik heb de cd niet meer" zovaak op het forum.? een tweaker is nog geen kennis persoon in een bepaald systeem.
Uitgerant?
'Klein' verschil is dat ik alleen mijn eigen gegevens beheer en geen geld van derden ontvang voor een dienst waarbij ik beloof goed op hun gegevens te passen.
'Klein' verschil is dat ik alleen mijn eigen gegevens beheer en geen geld van derden ontvang voor een dienst waarbij ik beloof goed op hun gegevens te passen.
Op dit item kan niet meer gereageerd worden.
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
