KPN haalt maildienst offline na publicatie accountgegevens
De maildienst van KPN is vrijdagmiddag onbereikbaar gemaakt. De dienst is offline gehaald nadat er een groot aantal accountgegevens met wachtwoorden van KPN-klanten online is gezet. Deze zouden bij de hack zijn buitgemaakt.
Webmail.kpnmail.nl en pop3.kpnmail.nl zijn sinds vrijdagmiddag niet bereikbaar. KPN heeft de mailservers uit voorzorg offline gehaald na de publicatie van wachtwoorden van mail-accounts van klanten. Verdere details geeft het bedrijf niet: net als op eerdere vragen over de hack van zijn systemen, luidt het antwoord dat het onderzoek in volle gang is en dat KPN hier verder geen uitlatingen over doet.
Diverse mensen bevestigden op Twitter, al voor het offline halen van de webmaildienst, dat de accountgegevens authentiek zijn. Onduidelijk is wie de gegevens op Pastebin gezet heeft, maar duidelijk is dat de hackers hiermee wilden aantonen dat er wel degelijk gebruikersgegevens zijn buitgemaakt. KPN ontkent dit, maar een bron van Tweakers.net vertelde dat er 16GB aan data aan een gehackte server onttrokken is.
Onduidelijk is hoe de hackers aan de wachtwoorden komen. De gepubliceerde wachtwoorden zijn relatief eenvoudig en als er gebruik is gemaakt van md5-hashes, zijn deze makkelijk via brute force te kraken. Ook is het mogelijk dat de wachtwoorden onversleuteld waren, al lijkt dit niet waarschijnlijk.
Reacties (256)
[Reactie gewijzigd door Rataplan op vrijdag 10 februari 2012 17:17]
Ja net ook gezien, pastebin + KPN was voldoende in Google om m naar boven te toveren, je zal erop staan (volledige NAW + email + password).. pff
Nogmaals : gebruik NOOIT ergens hetzelfde wachtwoord!
Nogmaals : gebruik NOOIT ergens hetzelfde wachtwoord!
Als je nooit ergens hetzelfde wachtwoord gebruikt hebben veel mensen vele tientallen wachtwoorden. Hoe wil je die bij gaan houden, allemaal in een database zetten en bij elk forum waar je wilt inloggen de account gegevens gaan opzoeken?
Heb je tooltjes voor, bijvoorbeeld keepass of lastpass.
en dat vind ik dus niet handig hdd crash en alles is weg.
ik groepeer zeg maar wachtwoorden
hoe belangrijker iets is hoe unieker het wachtwoord dan hoef je maar een stuk of 5 te kennen
ik groepeer zeg maar wachtwoorden
hoe belangrijker iets is hoe unieker het wachtwoord dan hoef je maar een stuk of 5 te kennen
Is niet van toepassing bij Lastpass (data staat niet alleen maar op je harddisk). Persoonlijk gebruik ik 1Password, en sync ik mijn passwords naar een encrypted volume in dropbox.
En Dropbox geeft jouw info aan NSA, FBI en CIA dus tenzij jij die encryptie er zelf op zet, dus buiten Dropbox om, kunnen zij overal aan.
Je kunt die databases ook opslaan in een dropbox map.
Handig als je het wachtwoord van je internet account kwijt bent. 
Dan vraag je even aan de buren of je daar in mag loggen, of kijk je op je werk, of op je mobiel... "beschikbaarheid" is dan wel een van je minste zorgen. Wanneer je specifiek over dropbox praat, zou ik me meer zorgen maken over de opslag aldaar, en de communicatie van hier naar daar.
maakt niet uit. staat namelijk ook gewoon offline opgeslagen op je PC, maar om nou te stellen dat dat echt veilig is voor wachtwoorden vind ik niet.
Lastpass werkt zowel lokaal als op internet, je datastore is volledig encrypted opgeslagen (zelf de mensen van lastpass zelf kunnen je niet helpen als je je password vergeet)
Dus als je HD crashed heb je al je passworden nog gewoon.
Ik gebruik het al jaren, 250+ verschillende passworden zijn anders moeilijk te onthouden.
OT:
Wat is het toch ook een stelletje oplichters bij KPN "Nee er zijn geen gegevens buitgemaakt" right, als hackers ruim een week toegang hebben tot de systemen.....
Was ook zo met hun online backup dienst "Nee er is niets kwijt" (maar veel mensen waren 'ineens' hun complete backup historie kwijt)
Ik probeer zo min mogelijk zaken te doen met KPN, maar helaas kom je er vaak niet onderuit.
Dus als je HD crashed heb je al je passworden nog gewoon.
Ik gebruik het al jaren, 250+ verschillende passworden zijn anders moeilijk te onthouden.
OT:
Wat is het toch ook een stelletje oplichters bij KPN "Nee er zijn geen gegevens buitgemaakt" right, als hackers ruim een week toegang hebben tot de systemen.....
Was ook zo met hun online backup dienst "Nee er is niets kwijt" (maar veel mensen waren 'ineens' hun complete backup historie kwijt)
Ik probeer zo min mogelijk zaken te doen met KPN, maar helaas kom je er vaak niet onderuit.
[Reactie gewijzigd door hellbringer op vrijdag 10 februari 2012 17:41]
Geloof ik niet.(zelf de mensen van lastpass zelf kunnen je niet helpen als je je password vergeet)
Lastpass kan vast sowieso je password resetten. En dus kunnen ze er (dan) ook zelf bij.
Nee, je password kan niet gereset worden. Kwijt is kwijt.
Dus geloof ik het wel.
Dus geloof ik het wel.
Dat is onzin: resetten is geen opvragen. Het kan best zo geprogrammeerd zijn dat door het instellen van een nieuw wachtwoord, het bestaande archief permanent onbereikbaar wordt.
Hoe kan Lastpass je password resetten dan? De data wordt lokaal versleuteld en geupload naar Lastpass daar staat alleen een versleutelde kopie van je 'vault'
Het resetten van je account kan alleen als je (op een vertrouwde pc) hebt ingesteld dat er een 'disabled One Time Password' opgeslagen wordt, dan kun je alleen vanaf die pc het wachtwoord resetten.
Zie ook:
http://helpdesk.lastpass....ion/why-is-lastpass-safe/
en:
http://helpdesk.lastpass.com/account-recovery/
Het resetten van je account kan alleen als je (op een vertrouwde pc) hebt ingesteld dat er een 'disabled One Time Password' opgeslagen wordt, dan kun je alleen vanaf die pc het wachtwoord resetten.
Zie ook:
http://helpdesk.lastpass....ion/why-is-lastpass-safe/
en:
http://helpdesk.lastpass.com/account-recovery/
Je kan een combinatie maken van een vast password met iets van de website waarop je in moet loggen.
Stel je ene password is kr48gglj52$3gjg45%paypal.
Je password op google is dan kr48gglj52$3gjg45%google?
Dan geldt nog steeds: er hoeft maar 1 password te lekken, en je bent 't haasje.
Je password op google is dan kr48gglj52$3gjg45%google?
Dan geldt nog steeds: er hoeft maar 1 password te lekken, en je bent 't haasje.
Dan kan je beter het woord google of paypal verkleinen tot 1 of twee letters. Bijvoorbeeld:
Standaard woord: kr48gglj52$3gjg45%
plus laatste letter of twee letters van domein:
Google -> kr48gglj52$3gjg45%le of kr48gglj52$3gjg45%e
Paypal -> kr48gglj52$3gjg45%al of kr48gglj52$3gjg45%l
Standaard woord: kr48gglj52$3gjg45%
plus laatste letter of twee letters van domein:
Google -> kr48gglj52$3gjg45%le of kr48gglj52$3gjg45%e
Paypal -> kr48gglj52$3gjg45%al of kr48gglj52$3gjg45%l
Zelfde websites, zelfde wachtwoord maar dan minder duidelijk.
krP48ggljl52$3gjg45%
krG48gglje52$3gjg45%
Je hoeft niet de hele naam te gebruiken, je kunt ook letters op vooraf bedachte plaatsen zetten.
krP48ggljl52$3gjg45%
krG48gglje52$3gjg45%
Je hoeft niet de hele naam te gebruiken, je kunt ook letters op vooraf bedachte plaatsen zetten.
Jij denkt dus dat hackers in al die (100-den, 1000-den, miljoenen) wachtwoorden gaan kijken of ze er 1 kunnen vinden waar ze misschien per ongeluk express wel kunnen raden wat het wachtwoord is van hun andere accounts? Echt niet, veel te veel moeite.
Zoals al gemeld, je kunt je data opslaan in een cloud, zoals bijvoorbeeld via Dropbox.
Sowieso, van belangrijke data heb je een backup op een aparte drager. Bijvoorbeeld een USB stick. Of een externe harde schijf. Of beide.
Verder is de zwakste factor ALTIJD de mens.
De meeste mensen willen er niet aan om een lang wachtwoord te bedenken, "want omg dat onthou ik noooooooit". Luiheid en gemakzucht dus. Totdat ze ineens slachtoffer zijn, want ze gebruikten overal hetzelfde makkelijke wachtwoord.
Wat trouwens ook niet helpt is dat wereldwijd nog steeds bar slechte regels voor het opstellen van een wachtwoord worden gegeven. Minstens 8 tekens. Tenminste 1 cijfer en 1 hoofdletter. Niet gelijk aan je laatste 3 wachtwoorden. Geen wonder dat mensen dan steeds hetzelfde makkelijke wahctwoord gebruiken.
Laatst met die sweep van Tweakers was ik toch erg blij met de suggestie om een kort zinnetje oftewel een passphrase in te stellen. Als je dit ook nog eens in een andere taal doet dan engels of Nederlands, slimme vent die dat brute forced
Enige argument dat nog kan overblijven is dat je misschien 3 seconden langer moet typen voordat je op Facebook kan. Boehoe
Sowieso, van belangrijke data heb je een backup op een aparte drager. Bijvoorbeeld een USB stick. Of een externe harde schijf. Of beide.
Verder is de zwakste factor ALTIJD de mens.
De meeste mensen willen er niet aan om een lang wachtwoord te bedenken, "want omg dat onthou ik noooooooit". Luiheid en gemakzucht dus. Totdat ze ineens slachtoffer zijn, want ze gebruikten overal hetzelfde makkelijke wachtwoord.
Wat trouwens ook niet helpt is dat wereldwijd nog steeds bar slechte regels voor het opstellen van een wachtwoord worden gegeven. Minstens 8 tekens. Tenminste 1 cijfer en 1 hoofdletter. Niet gelijk aan je laatste 3 wachtwoorden. Geen wonder dat mensen dan steeds hetzelfde makkelijke wahctwoord gebruiken.
Laatst met die sweep van Tweakers was ik toch erg blij met de suggestie om een kort zinnetje oftewel een passphrase in te stellen. Als je dit ook nog eens in een andere taal doet dan engels of Nederlands, slimme vent die dat brute forced
Enige argument dat nog kan overblijven is dat je misschien 3 seconden langer moet typen voordat je op Facebook kan. Boehoe
DigiD heeft een maximum van 8 karakters...
Ik wist niet meer welk wachtwoord ik had, en moest jaaaaaren terug grijpen. Ik gebruik Lastpass en mijn wachtwoorden zijn normaalgesproken 16 karakters lang. En per site verschillend.
En DigiD is overheid.... Jammer dat je dan geen veilig ww kan hebben.
Ik wist niet meer welk wachtwoord ik had, en moest jaaaaaren terug grijpen. Ik gebruik Lastpass en mijn wachtwoorden zijn normaalgesproken 16 karakters lang. En per site verschillend.
En DigiD is overheid.... Jammer dat je dan geen veilig ww kan hebben.
digid met 33 karakters wachtwoord... werkt al sinds het begin ?
DigiD maximum 8 karakters????
Vreemd mijn wachtwoord bestaat uit 15 karakters en hier nog iemand met er één van 17 karakers. Inlognamen ook langer dan 8 karakters.
Misschien dat alleen de eerste 8 gebruikt worden maar ik kan gewoon die 15 karakters invoeren.
Vreemd mijn wachtwoord bestaat uit 15 karakters en hier nog iemand met er één van 17 karakers. Inlognamen ook langer dan 8 karakters.
Misschien dat alleen de eerste 8 gebruikt worden maar ik kan gewoon die 15 karakters invoeren.
Mijn DigiD wachtwoord heeft anders 18 karakters... Get your facts straight!
Tnx voor de update. Misschien dan toch ens mn wachtwoord versterken...
Wat dacht je van een backup ?en dat vind ik dus niet handig hdd crash en alles is weg.
Non-argument aangezien je altijd dient te backuppen als je gegevens (wat voor gegevens dan ook!!!) je lief zijn. Sterker nog, je bent wettelijk verplicht om bepaalde data te behouden voor x aantal jaar. Dat geldt niet alleen voor dingen als brieven van de belastingdienst maar ook je digitale aangifte e.d. Als je hdd crasht en alles weg is dan is dat geheel en volledig op je eigen conto te schrijven. Niet backuppen is hetgeen wat niet handig is en niet alles in een password app stoppen is juist [i[wel[/i] handig. Je moet wel met je vinger naar het juiste probleem wijzen!
[Reactie gewijzigd door ppl op vrijdag 10 februari 2012 20:51]
De Keepass db kan je op een USB stick zetten die je met TrueCrypt beveiligd.
Da's dubbelop. Keepass DB wordt al versleuteld opgeslagen. Natuurlijk is een extra laag nooit weg, maar het is niet nodig.
Je hebt gelijk. Wat ik eigenlijk doe is dat ik een usb stick heb met een backup van belangrijke data en dat de Keepass db onderdeel is van die data.
De manier waarop je met TrueCrypt een USB stick beveiligd vind ik overigens wel briljant. Een vinder weet niet eens dat er data op staat. Windows zegt meteen: "onbruikbaar medium, zal ik het formatteren?"
De manier waarop je met TrueCrypt een USB stick beveiligd vind ik overigens wel briljant. Een vinder weet niet eens dat er data op staat. Windows zegt meteen: "onbruikbaar medium, zal ik het formatteren?"
OffTopic:
Dat is niet dubbelop, dat is extra zekerheid omtrend beveiliging van de backup:
- USB-Stick is de Backup,
- TrueCrypt is de Beveiliging van die Backup
(voor als die fysiek in verkeerde handen valt)
Edit:
Niet goed gelezen, mijn opmerking is eigenlijk overbodig door: Franckey....
Dat is niet dubbelop, dat is extra zekerheid omtrend beveiliging van de backup:
- USB-Stick is de Backup,
- TrueCrypt is de Beveiliging van die Backup
(voor als die fysiek in verkeerde handen valt)
Edit:
Niet goed gelezen, mijn opmerking is eigenlijk overbodig door: Franckey....
[Reactie gewijzigd door HoeZoWie op zaterdag 11 februari 2012 13:02]
Je maakt dus nooit ergens backups van.en dat vind ik dus niet handig hdd crash en alles is weg.
KeePass is echt superhandig, ik maak er zelf ook gebruik van. Sinds ik het programma gebruik heb ik voor iedere website een unieke wachtwoord, en geen makkelijke.. maar denk aan wachtwoorden die tussen de 20 - 60 karakters heeft.
De 60 haal ik niet, want dat doe ik de databases niet aan ( die geen encryptie hebben ). Maar zo ben je wel zeker van je zaak!
De 60 haal ik niet, want dat doe ik de databases niet aan ( die geen encryptie hebben ). Maar zo ben je wel zeker van je zaak!
Dat is anders een stuk gemakkelijker dan je denkt. Ik gebruik zelf Keepass hiervoor, en merk eigenlijk nauwelijks vertraging in mijn surfen.
Tip: Notitieboekje. Zo veilig als de rest van je huis.
Wat dacht je van papier en pen?
Edit: Te laat...
Edit: Te laat...
[Reactie gewijzigd door Gertjezzz op vrijdag 10 februari 2012 17:21]
Nee, je zet alles lekker ouderwets op papier. En dan lees je het van papier af en voer je het in. Dat is het veiligst.
Tot je papier tussen een stapel zoek raakt, nat wordt, verbrand of wegwaait. Daarnaast kan iemand anders het ongemerkt overschrijven en er daarna geen acht meer op slaan.
Ik heb 3 verschillende basiswachtwoorden, deze variëren in lengte de langste worden gebruikt bij belangrijke websites.
Verder gebruik ik in mijn wachtwoord op bepaalde plaatsen enkele tekens uit de URL. Om het duidelijk te maken even een voorbeeldje..
tweede en laatste teken URL: tweakers.net
op 5e en laatste plek in wachtoord: xxxxWxxxxxS
Zo word het heel makkelijk te onthouden, en heb je wel vrijwel overal een ander wachtwoord.
Verder gebruik ik in mijn wachtwoord op bepaalde plaatsen enkele tekens uit de URL. Om het duidelijk te maken even een voorbeeldje..
tweede en laatste teken URL: tweakers.net
op 5e en laatste plek in wachtoord: xxxxWxxxxxS
Zo word het heel makkelijk te onthouden, en heb je wel vrijwel overal een ander wachtwoord.
Ik doe ook zo iets, maar dan anders:
Ik gebruik meerdere woorden met vreemde en koppel-tekens, en
vervang alle eerste 2 (mede)klinkers in elk woord met een cijfer of
een vreemd teken (waar kan), zo als:
0=O, l=1.Z=2, E=3, 4=h, 5=S, 6=b, 7=V, 8=B, 9=g, a=@, B=ß, c=©, R=®
Hierdoor blijft het door de koppeltegens en 'cijfers' logisch leesbaar,
en dus makkelijk 'overtypbaar' zonder te hoeven 'copy - pasten',
Ik verhoog de moeilijkheidsgraad, door een emotie van mijzelf toe te voegen
aan het woord, door de betekenis te reflecteren bij wat ik er bij voel:
Ik ben bv een '' koffieleut'/koffie-fan en koop graag een goed apparaat hiervoor:
"Koffieboonmaalmolen"
wordt:
'K0ff1e-ß00n~M@@l_M0l3n'!¡
(26 Karakters, goed te onthouden, simpel te typen.)
Ik gebruik meerdere woorden met vreemde en koppel-tekens, en
vervang alle eerste 2 (mede)klinkers in elk woord met een cijfer of
een vreemd teken (waar kan), zo als:
0=O, l=1.Z=2, E=3, 4=h, 5=S, 6=b, 7=V, 8=B, 9=g, a=@, B=ß, c=©, R=®
Hierdoor blijft het door de koppeltegens en 'cijfers' logisch leesbaar,
en dus makkelijk 'overtypbaar' zonder te hoeven 'copy - pasten',
Ik verhoog de moeilijkheidsgraad, door een emotie van mijzelf toe te voegen
aan het woord, door de betekenis te reflecteren bij wat ik er bij voel:
Ik ben bv een '' koffieleut'/koffie-fan en koop graag een goed apparaat hiervoor:
"Koffieboonmaalmolen"
wordt:
'K0ff1e-ß00n~M@@l_M0l3n'!¡
(26 Karakters, goed te onthouden, simpel te typen.)
Ik gebruik Keepass om passwords te genereren en het Master Password in Firefox om de passwords automatisch te laten invullen bij websites.
http://luxsci.com/blog/ma...efox-and-thunderbird.html
http://luxsci.com/blog/ma...efox-and-thunderbird.html
Ik gebruik PasswordMaker, nog steeds 1 master wachtwoord, echter is die gehashed met de site als salt. Je kan zelf de lengte en het hashalgoritme kiezen.
Er zijn verscheidene plugins en er is een web/javascript versie.
Er zijn verscheidene plugins en er is een web/javascript versie.
Hopelijk krijgt KPN een verschrikkelijk dikke boete vanwege het niet up to date en dus niet veilig houden van hun servers.
Privacy van klanten schijnt niet hoog in het vaandel te staan bij KPN.
Privacy van klanten schijnt niet hoog in het vaandel te staan bij KPN.
Leuk idee, wie denk je dat dit uiteindelijk gaat betalen? Eigenlijk zouden dit soort boetes uit de zak moeten komen van degene die er verantwoordelijk voor zijn.
En als de overheid geen zaak tegen KPN begint hoop ik eigenlijk dat er een aantal klanten zijn die een civiele zaak aanspannen tegen KPN. Ik denk dat je als consument best nog wel een kans maakt als een bedrijf zo slordig (opslaan van passwords) met je gegevens omgaat.
Wow... eigenlijk heel slecht dat je dat hier post, maar ik kon het toch niet laten om even te kijken... bizar... vooral omdat het ook passwords bij staan. Het zou wettelijk verboden moeten worden om passwords van klanten op te slaan.
Volgens mij moet je inlognaam en ww hetzelfde zijn als dat van je modem.
Daar ga je dus al...
Daar ga je dus al...
Da's toch ouderwets? Ik zit bij dochter XS4ALL en daar hoeft al jaren geen password in je modem te staan voor je ADSL verbinding. Door je fysieke aansluiting weten ze toch al wie je bent en welk abbo je hebt.
In België moet dat altijd, zowel bij Belgacom, Telenet als bij de kleinere ISP's.
Ga er altijd van uit dat er wel iemand mee kijkt en gebruik pgp of gpg wanneer je een beetje privacy wilt.
Opvallend dat er geen @kpnplanet.nl accounts bij staan.
mogelijk hebben ze dus toch neit alles in handen gehad
mogelijk hebben ze dus toch neit alles in handen gehad
Het zijn ook maar een minimaal aantal accounts ;-) Staat er anders wel al even op, benieuwd wanneer pastebin dit offline haalt
pastebin haalt het niet offline tot er iemand is die het eist om het offline te halen zoals alle andere account leaks op pastebin 
Als je op "create new version of this paste" klikt, dan maakt hij een nieuwe pagina aan met diezelfde lijst. Hoeveel mensen zullen dit inmiddels gedaan hebben, dus met andere woorden, hoeveel sites zijn er inmiddels al met deze lijst? Ik denk honderden, zo niet duizenden.
Het lijkt me dat het minste wat KPN kan doen is al deze mensen persoonlijk benaderen met het advies overal hun wachtwoorden te wijzigen en eventueel een nieuw telefoonnummer te neman.
Het lijkt me dat het minste wat KPN kan doen is al deze mensen persoonlijk benaderen met het advies overal hun wachtwoorden te wijzigen en eventueel een nieuw telefoonnummer te neman.
Kan natuurlijk ook zijn, dat ze maar een beperkt aantal accountgegevens openbaar maken nu, maar dat ze wel de beschikking hebben over veel meer.
Er is 16gb gedownload en dit zijn 'maar' 539 regels... heb de indruk dat we komende dagen nog wel meer dumps gaan zien als kpn niet voldoende openbaarheid geeft en verstandig gaat handelen in plaats van proberen zich in te dekken.
Er is 16gb gedownload en dit zijn 'maar' 539 regels... heb de indruk dat we komende dagen nog wel meer dumps gaan zien als kpn niet voldoende openbaarheid geeft en verstandig gaat handelen in plaats van proberen zich in te dekken.
Ontkennen dat er data is gekopieerd, is toch iets anders dan je indekken..
Dan verwacht ik nog meer dumps; want de kans dat KPN voldoende openbaarheid geeft binnen afzienbare tijd acht ik nul...heb de indruk dat we komende dagen nog wel meer dumps gaan zien als kpn niet voldoende openbaarheid geeft
.
Het grootste probleem is denk ik dat KPN momenteel handelt in eigenbelang en niet in het belang van de echte gedupeerden: de gebruikers. De hackers, die zelf aangeven niet kwaadwillend te willen handelen, reageren hierop door druk te zetten op KPN om openbaarheid te geven en de waarheid te vertellen (vooral dat laatste is belangrijk, want met deze dump wordt aangetoond dat KPN heeft gelogen door te zeggen dat er niets buit was gemaakt).
Er wordt niets aangetoond, het is heel goed mogelijk, mede omdat deel van wachtwoorden foutief zijn dat dit een dump is n.a.v. een phishing aanval. KPN zet enkel uit voorzorg hun mailservers e.d. offline. Het bewijst nog niets.
sorry maar hackers die aangeven niet kwaadwillend te willen handelen zijn geloofwaardig als ze daarna alle prive gegevens van MENSEN openbaar maken die toevallig klant zijn van KPN? volgens mij is het openbaar maken van je jatwerk toch niet echt een liefdadigheids actie of wel?
hiermee pakken ze niet alleen KPN maar ook iedereen die op die lijst staat.
hiermee pakken ze niet alleen KPN maar ook iedereen die op die lijst staat.
Het kan ook zijn dat ze de wachtwoorden uit de buitgemaakte verkeersdata hebben gehaald. Verkeer richting een pop server is niet geencrypt, dus daar kunnen ze dan de bij de mailadressen behorende wachtwoorden uitgehaald hebben. Zonder dat de overige wachtwoorden gecompromiteerd zijn.
Het lijkt mij persoonlijk sterk dat de wachtwoorden versleuteld waren en dat de hackers de moeite hebben genomen om deze eerst te decrypten.Onduidelijk is hoe de hackers aan de wachtwoorden komen. De gepubliceerde wachtwoorden zijn relatief eenvoudig en als er gebruik is gemaakt van een md5-hashes zijn deze makkelijk via brute force te kraken.
Zeer kwalijk dat iedere huis-tuin-en-keuken-programmeur inmiddels al heeft geleerd dat het opslaan van plain-text wachtwoorden een no-go is, en dat een groot bedrijf als KPN deze basale regels aan zijn laars lapt.
Los daarvan is het natuurlijk duidelijk dat, als deze lijst inderdaad authentiek is, alle wachtwoorden van de gebruikers eigenlijk niet meer bruikbaar zijn. De enige juiste oplossing die ik zie is het resetten van alle wachtwoorden en de gebruikers per brief op de hoogte stellen van een nieuw wachtwoord. Maar dat impliceert indirect dat ze daarin ook nog meer publiciteit aan de hack moeten geven, iets wat ze volgens mij juist liever niet doen om 'paniek te voorkomen'
De lijst geeft overigens ook weer een interessant inzicht in de zwakte van de gemiddelde wachtwoorden die 'we' verzinnen. Het meestgebruikte 'welkom' zit er niet tussen, maar veel eenvoudige wachtwoorden met (delen van) de naam of een combinatie van naam / telefoonnummer / geboortedatum zijn volop aanwezig. De bekende 'qwerty' is uiteraard aanwezig. Bonuspunten voor * met een wachtwoord '*' als samentrekking van zijn voor- en achternaam!
Gevolgen van deze hack zijn trouwens nog veel verder strekkend dan KPN alleen. Zoals onder andere @AlexanderNL al bevestigd gebruiken veel mensen hetzelfde wachtwoord voor meerdere services. In combinatie met de beschikbare email adressen, lukt het na een paar pogingen al om met deze gegevens in te loggen op Marktplaats, Facebook en weet ik hoeveel andere diensten.
edit:
Herleidbare naam / wachtwoord maar even weg-geëdit.
Herleidbare naam / wachtwoord maar even weg-geëdit.
[Reactie gewijzigd door Zoefff op vrijdag 10 februari 2012 17:31]
Plain text wachtwoorden opslaan zou natuurlijk echt pas schandalig zijn. Laten we hopen dat dit niet waar is.
Verder zijn de getoonde wachtwoorden wel erg simpel zoals je zegt.
Het is bijna niet voor te stellen dat dit echt de wachtwoorden zijn die men gebruikt.
Door zomaar een voornaam te gebruiken maak je het hackers wel heel erg makkelijk.
Misschien is deze lijst toch een hoax maar dan wel een goede omdat het mensen wijst op de zwakheden in het systeem.
Verder zijn de getoonde wachtwoorden wel erg simpel zoals je zegt.
Het is bijna niet voor te stellen dat dit echt de wachtwoorden zijn die men gebruikt.
Door zomaar een voornaam te gebruiken maak je het hackers wel heel erg makkelijk.
Misschien is deze lijst toch een hoax maar dan wel een goede omdat het mensen wijst op de zwakheden in het systeem.
Als md5 opslaan (zonder salt) is eigenlijk even erg hoor, en met salt hadden ze er niet zo veel kunnen bruteforcen...
Hoe moeilijk is het om wachtwoorden van 6 of 7 karakters te bruteforsen?
6 karakters met alleen (kleine) letters en cijfers levert 6,1 miljard mogelijke combinaties. Nou niet echt een astronomisch getal voor de huidige cpu's. Half uurtje per wachtwoord moet haalbaar zijn lijkt me. Als het Anonimus is geweest, dan kunnen ze dit eventueel ook nog distributed doen en heb je er zo een paar honderd per dag gedecrypt.
6 karakters met alleen (kleine) letters en cijfers levert 6,1 miljard mogelijke combinaties. Nou niet echt een astronomisch getal voor de huidige cpu's. Half uurtje per wachtwoord moet haalbaar zijn lijkt me. Als het Anonimus is geweest, dan kunnen ze dit eventueel ook nog distributed doen en heb je er zo een paar honderd per dag gedecrypt.
Bruteforsen van passwords op een website wordt hopelijk voorkomen door met een max aantal login pogingen te werken of een steeds groter wordende interval tussen pogingen.
Maar na alle berichten geloof ik niet dat KPN een dergelijke beveiliging tegen bruteforsen van passwords van passwords heeft.
Maar na alle berichten geloof ik niet dat KPN een dergelijke beveiliging tegen bruteforsen van passwords van passwords heeft.
Wellicht publiceren ze juist enkel en alleen die wachtwoorden die ze tot nu toe wel hebben kunnen achterhalen middels bruteforce en zie daar de verklaring voor 'maar' zo weinig gegevens. Vergis je niet dat je met een low-budget pc + mid range videokaart en de juiste software (zowel voor het kraken zelf, de dictionary/word files + sl33t rules en cuda/opencl support) al snel alle 8 character wachtwoorden te pakken hebt. Heb je een botnet of een andere vorm van veel rekenkracht onder je beheer gaat het alleen maar nog sneller.Als md5 opslaan (zonder salt) is eigenlijk even erg hoor, en met salt hadden ze er niet zo veel kunnen bruteforcen...
Als ik de wachtwoorden van mensen die ik help met hun computer vergelijk, is het niet moeilijk voor te stellen dat dit de gebruikte wachtwoorden zijn.
Men komt echt niet verder dan de getoonde wachtwoorden helaas.
En daar kan je ze duizenden keren op wijzen, het enige dat je te horen krijgt, is dat je niet moet zeuren...
Men komt echt niet verder dan de getoonde wachtwoorden helaas.
En daar kan je ze duizenden keren op wijzen, het enige dat je te horen krijgt, is dat je niet moet zeuren...
ik als klant van kpn was er van verbaast dat toen ik mijn ww veranderde ik het via de post thuis kreeg waar ik mijn ww in had veranderd......
dus ik vermoed wel degelijk dat als je toegang tot de DB hebt gewoon de ww in plain text kan bekijken
dus ik vermoed wel degelijk dat als je toegang tot de DB hebt gewoon de ww in plain text kan bekijken
De brief zou eventueel tegelijk met je wijziging op de DB kunnen plaatsvinden, een pdfje direct genereren aan de hand van de post data en die laten drukken in hun fulfillment center (gokje) en daarna beveiligd opslaan... AL betwijfel ik het ook hoor...
inderdaad - gewoon onaangetekende brief met daarin zowel password als username....
Wat is er mis met namen en jaartallen + tekens? Als de hacker in kwestie jou niet persoonlijk kent, en die gegevens nergens uit kan halen, wordt je password er niet makkelijker van.... het blijven dan "random" tekens die alleen door brute-force attacks te kraken zijn.
Niet overal hetzelfde password gebruiken, en geregeld het password aanpassen is nog het beste dat je zelf voor je privacy kunt doen.
En ach - ieder password is wel te kraken met een brute-force attack. Duurt misschien iets langer. Daar staat tegenover dat je account bij een beetje provider na een x aantal pogingen wordt geblokkeerd.
Wat is er mis met namen en jaartallen + tekens? Als de hacker in kwestie jou niet persoonlijk kent, en die gegevens nergens uit kan halen, wordt je password er niet makkelijker van.... het blijven dan "random" tekens die alleen door brute-force attacks te kraken zijn.
Niet overal hetzelfde password gebruiken, en geregeld het password aanpassen is nog het beste dat je zelf voor je privacy kunt doen.
En ach - ieder password is wel te kraken met een brute-force attack. Duurt misschien iets langer. Daar staat tegenover dat je account bij een beetje provider na een x aantal pogingen wordt geblokkeerd.
[Reactie gewijzigd door Flozem op vrijdag 10 februari 2012 20:44]
En dan nog de 06-jes die erbij staan...
OT: ik vind het goed dat er wordt aangetoond dat een bedrijf als KPN, na meerdere bekende problemen met de gehackte server, ook niet altijd alles op orde heeft. Dat de buit gemaakte data dan weer open en bloot op straat komt had nou ook weer niet gehoeven.
"De hack heeft plaatsgevonden in een onderdeel van het KPN-netwerk dat voor veel verschillende zaken wordt gebruikt. Dat varieert van Internetplusbellen tot het aan- of afsluiten van internetklanten." http://www.nu.nl/internet...ooft-beterschap-hack.html
Met deze gegevens is niemand meer zeker met het internet dat KPN levert.
"Ook zou er wel degelijk informatie zijn gedownload, maar liefst 16 gigabyte aan gegevens. Volgens de hacker is die informatie inmiddels vernietigd omdat ze alleen de 'zwakheden wilden blootleggen' en geen kwaad in de zin hadden." http://www.rtl.nl/(/actue...had_erger_kunnen_zijn.xml
Goed dat de hacker niets met de data doet, maar anderen die dit eventueel in handen kunnen krijgen?
OT: ik vind het goed dat er wordt aangetoond dat een bedrijf als KPN, na meerdere bekende problemen met de gehackte server, ook niet altijd alles op orde heeft. Dat de buit gemaakte data dan weer open en bloot op straat komt had nou ook weer niet gehoeven.
"De hack heeft plaatsgevonden in een onderdeel van het KPN-netwerk dat voor veel verschillende zaken wordt gebruikt. Dat varieert van Internetplusbellen tot het aan- of afsluiten van internetklanten." http://www.nu.nl/internet...ooft-beterschap-hack.html
Met deze gegevens is niemand meer zeker met het internet dat KPN levert.
"Ook zou er wel degelijk informatie zijn gedownload, maar liefst 16 gigabyte aan gegevens. Volgens de hacker is die informatie inmiddels vernietigd omdat ze alleen de 'zwakheden wilden blootleggen' en geen kwaad in de zin hadden." http://www.rtl.nl/(/actue...had_erger_kunnen_zijn.xml
Goed dat de hacker niets met de data doet, maar anderen die dit eventueel in handen kunnen krijgen?
[Reactie gewijzigd door Gertjezzz op vrijdag 10 februari 2012 17:10]
Het zou die ratten sieren als ze dat ding meteen offline halen en de gegevens bij de KPN mensen onder de neus schuiven. Niemand heeft er baat bij om andermans gegevens zomaar openbaar te gooien, al helemaal geen wachtwoorden.
nieuws: Hacker had toegang tot privégegevens KPN-klanten - update
KPN probeerde dit incident dus onder het kleed te schuiven uit vrees voor gezichtsverlies. In mijn ogen moet een organisatie altijd transparant zijn naar hun klanten toe wanneer hackers toegang hebben (gehad) tot hun klantgegevens. In dit geval had men namelijk al hun gegevens kunnen wijzigen voordat deze werden gepubliceerd.Volgens woordvoerder Patrick Mikkelsen van de provider kon de hacker bij klantgegevens. Het ging onder meer om naw-gegevens, telefoonnummers en bankrekeningnummers. "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd", zegt hij.
Ik zie niet helemaal in hoe het transparanter moet zijn. Ze hebben onderzoek gedaan, maar daarmee hebben ze niet kunnen vaststellen of de gegevens zijn gekopiëerd. Dat jij die zin interpreteert als "uit onderzoek is gebleken dat de gegevens niet zijn gekopieerd" is je eigen fout.Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd
[Reactie gewijzigd door .oisyn op vrijdag 10 februari 2012 17:23]
In het artikel staat anders duidelijk: "...dat er wel degelijk gebruikersgegevens zijn buitgemaakt. KPN ontkent dit, ..."
Wat in het artikel staat komt uit de pen van de schrijver, niet uit de "mond" van KPN.
Dus volgens jouw liegt Olaf van Miltenburg in dit artikel .
.Ehh, die hackers zeggen dat ze 16 gig hebben gekopieerd.
KPN zegt van niet.
De ratten leveren het bewijs: KPN liegt
En wie was volgens jou de rat? Hadden die hackers naar KPN moeten stappen, dat al heeft aangekondigd de hackers te willen laten vervolgen? Wat verwijt je de hackers? Dat zij begonnen met terugslaan? KPN was verantwoordelijk voor de beveiliging van mijn gegevens, niet die hackers.
KPN zegt van niet.
De ratten leveren het bewijs: KPN liegt
En wie was volgens jou de rat? Hadden die hackers naar KPN moeten stappen, dat al heeft aangekondigd de hackers te willen laten vervolgen? Wat verwijt je de hackers? Dat zij begonnen met terugslaan? KPN was verantwoordelijk voor de beveiliging van mijn gegevens, niet die hackers.
Leuk en aardig. Ga er mee naar de politie, de NMa, de OPTA, de weet ik het wie maar gooi het NIET openbaar of eventueel geblurred/gecensureerd zoals het screenshot hierboven. Nu pakken die scriptkiddies er onschuldige mensen mee en dat is hier NOOIT de bedoeling.
Die kiddies "pakken" helemaal niemand, de mensen die deze gegevens gaan misbruiken "pakken" mensen. En KPN "pakt" mensen door vertrouwen te kweken maar niet betrouwbaar te zijn. De hackers valt niets te verwijten, al helemaal niet omdat KPN ze direct maar voor het gerecht wil slepen in plaats van ze gewoon netjes in dienst te nemen als beveiligers, of gewoon contact met ze op te nemen om te vragen hoe het dan zit.Leuk en aardig. Ga er mee naar de politie, de NMa, de OPTA, de weet ik het wie maar gooi het NIET openbaar of eventueel geblurred/gecensureerd zoals het screenshot hierboven. Nu pakken die scriptkiddies er onschuldige mensen mee en dat is hier NOOIT de bedoeling.
KPN heeft het er zelf naar gemaakt: keihard zeggen dat er niks is gedownload aan gegevens ...
Dan vraag je om publicatie van klantgegevens.
Het was wel netjes geweest als de wachtwoorden deels verminkt werden.
Voor de rest: bij een bedrijf dat gewoon lijkt te liegen over meerdere zaken, laat de inbraak meld, en zegt dat er geen data is opgehaald: volkomen terechte publicatie. Eigen schuld, dikke bult, voor KPN.
En wat betreft de "slachtoffers" van de publicatie: weer de gebruikelijk verzameling "simpele" wachtwoorden waar je niet goed van wordt.
Edit:
Naar nu blijkt zijn de gepubliceerde gegevens niet van KPN, maar zijn het klant gegevens van baby dump, met een kpn e-mail adres. De aanleiding voor het publiceren van juist deze gegevens is voor speculatie vatbaar.
Dan vraag je om publicatie van klantgegevens.
Het was wel netjes geweest als de wachtwoorden deels verminkt werden.
Voor de rest: bij een bedrijf dat gewoon lijkt te liegen over meerdere zaken, laat de inbraak meld, en zegt dat er geen data is opgehaald: volkomen terechte publicatie. Eigen schuld, dikke bult, voor KPN.
En wat betreft de "slachtoffers" van de publicatie: weer de gebruikelijk verzameling "simpele" wachtwoorden waar je niet goed van wordt.
Edit:
Naar nu blijkt zijn de gepubliceerde gegevens niet van KPN, maar zijn het klant gegevens van baby dump, met een kpn e-mail adres. De aanleiding voor het publiceren van juist deze gegevens is voor speculatie vatbaar.
[Reactie gewijzigd door Xubby op zondag 12 februari 2012 10:13]
KPN heeft geen enkele keuze wat betreft het wel of niet vervolgen van de hackers. Dit is een eis die elke verzekeringsmaatschappij stelt, mogelijke schadeclaims worden anders niet uitgekeerd.
@superbig91: vind je niet dat je een beetje onethisch bezig bent om die link hier te pasten? Nu doe je mee aan het schenden van de privacy!
Misschien is hij de hacker wel, je weet maar nooit
Maar ik ben het met je eens, die link had hier niet hoeven staan!
Maar ik ben het met je eens, die link had hier niet hoeven staan!
Als niemand hier op Tweakers had geweten hoe Google werkte had je gelijk gehad, maar wat maakt het nou voor verschil om die link te posten of zelf even pastbin en kpn in Google in te typen?
Dat maakt principieel gezien een groot verschil.
In het eerste geval is Tweakers (mede)verantwoordelijk; in het tweede geval niet.
In het eerste geval is Tweakers (mede)verantwoordelijk; in het tweede geval niet.
Ik ben voor transparantie en ook voor plaatsen van dit soort artikelen. Zonder wachtwoorden uiteraard.
[Reactie gewijzigd door HoppyF op vrijdag 10 februari 2012 18:23]
Vraag is of ook de POP servers zijn downgehaald, als je die hebt kan je alsnog de hele mailbox uitlezen (en dat kan meen ik ook gewoon via proxy/vpn)..
Dat lijkt er wel op. pop.planet.nl geeft bij mij een "Connection Timed out"-foutmelding.
Gelukkig! 
En weer een bedrijf wat in mijn ogen nalatig is geweest in mijn ogen. Als de hacks mogelijk zijn gemaakt, doordat er verouderde software op de servers van kpn draaide, moet er een sanctie volgen. Het lijkt alsof bedrijven niet leren van hun fouten!
Indeed. Helemaal mee eens.
De vraag is alleen nu wat er nog meer boven komt drijven.
Ik heb in het verleden een geheim teelfoon numemr gehad bij de kpn, digitenne, en heel ver in het verleden mxstream.
Als de kpn nu al ontkent dat deze web gegevens niet gestolen zouden zijn, vraag ik me af of ze bewust liegen of daadwerkelijk niet weten wat de inpact van de hack is geweest.
Ik heb in het verleden een geheim teelfoon numemr gehad bij de kpn, digitenne, en heel ver in het verleden mxstream.
Als de kpn nu al ontkent dat deze web gegevens niet gestolen zouden zijn, vraag ik me af of ze bewust liegen of daadwerkelijk niet weten wat de inpact van de hack is geweest.
Het kan natuurlijk zijn dat KPN niet weet hoe groot de impact precies is, maar dat er gegevens buit gemaakt zijn is wel duidelijk en ook heus wel bij KPN zelf. Er zit vast wel één van de 30000 medewerkers van KPN bij tweakers, en anders de andere nieuws sites waar het niet onopgemerkt voorbij gaat..
De vraag is alleen nu wat er nog meer boven komt drijven.
Daar wordt tot dusver niets over gezegd. Is er ook toegang geweest tot die bestanden?Wilt u snel en eenvoudig een kopie maken van al uw bestanden? Met Back-up Online maakt u via internet een automatische back-up. Al uw gegevens en documenten worden veilig opgeslagen bij KPN en zijn eenvoudig weer terug te halen.
Lekker dan ik ben hier absoluut niet blij mee. Eerst worden de privegegevens en bedrijfsgegevens gejat door een stel scriptkiddies en dan worden ook nog alle gegevens geopenbaard op het internet. Een schadevergoeding is meer dan terecht voor de geleden schade die ik en mijn bedrijf opgelopen hebben.
schadevergoeding van KPN bedoel je?
Welke schade heb je precies geleden?
@ioor
Dat klopt.
@ RoelJewl
Ten eerste dat gegevens van mij en mjn zakelijke telefoon op internet staan heb net gekeken maar dit is maar slechts een tipje van de ijsberg qua hoeveelheid gegevens.
Nou is dit niet het enige wat er bij KPN gebeurt we kunnen niet verwachten dat alles veilig is wat over internet gaat maar ik vind het wel vervelend als mijn bedrijfstelefoons niet werken van mijn mensen toen het mobiele internet eruit lag.
Dat klopt.
@ RoelJewl
Ten eerste dat gegevens van mij en mjn zakelijke telefoon op internet staan heb net gekeken maar dit is maar slechts een tipje van de ijsberg qua hoeveelheid gegevens.
Nou is dit niet het enige wat er bij KPN gebeurt we kunnen niet verwachten dat alles veilig is wat over internet gaat maar ik vind het wel vervelend als mijn bedrijfstelefoons niet werken van mijn mensen toen het mobiele internet eruit lag.
Jouw gegevens staan er tussen, en je weet zeker dat die niet eerder, bij andere hacks zijn buitgemaakt? Dan weten we dus zeker dat de hackers echt gegevens hebben gestolen.
Daar heb je een punt, maar de meeste e-mail adressen die op die pastebin staan: Google ze maar eens na, die e-mail adressen. Dan zie je dat veel e-mail adressen inderdaad al veel op het net staan.Jouw gegevens staan er tussen, en je weet zeker dat die niet eerder, bij andere hacks zijn buitgemaakt? Dan weten we dus zeker dat de hackers echt gegevens hebben gestolen.
Ik ben ook klant van KPN, 4 e-mail adressen/1 telefoonnummer. 0 van deze (e-mail)adressen/telefoonummers van mij staan bij deze paste, dus van mij is er niets 'gelekt'. Het zou ook voor de show kunnen zijn, hoe moeilijk is het om iets te encrypten met MD5... tsja, totaal niet moeilijk, kan zelfs nog online.
De hackers zeiden dat ze het hadden vernietigt, dat is dus duidelijk NIET het geval als de gepubliceerde gegevens 'echt' zijn. Misschien hadden de hackers zelf wel een virus op hun computers, waar andere hackers weer brood in zagen...
Bjorn Ras, waaruit maak jij op dat jij er ook tussen staat? (google is je vriend en vijand)
alle lekken van het afgelopen jaar zouden toch een flinke wake up call voor bedrijven geweest moeten zijn. En nu dit gedoe met KPN weer... zullen een aantal mensen wat uit te leggen hebben!
Zet me wel aan het denken, zowel persoonlijk als op werkgebied. Ik heb een aantal pw's in gebruik en variaties erop in gebruik, maar waterdicht is het zeker niet. Misschien toch maar veranderen. En qua werk ben ik benieuwd hoe onze IT afdeling en onze outsourcingspartij (ATOS) hiermee omgaan.
Zet je toch aan het denken, dit nieuws.
Zet me wel aan het denken, zowel persoonlijk als op werkgebied. Ik heb een aantal pw's in gebruik en variaties erop in gebruik, maar waterdicht is het zeker niet. Misschien toch maar veranderen. En qua werk ben ik benieuwd hoe onze IT afdeling en onze outsourcingspartij (ATOS) hiermee omgaan.
Zet je toch aan het denken, dit nieuws.
[Reactie gewijzigd door Tom Yam op vrijdag 10 februari 2012 16:49]
Zelf overgegaan naar lastpass nadat in korte tijd twee websites waar ik geregistreerd stond werden gehackt. I.c.m. google authenticator heb ik two pass authentication en een volledig random wachtwoord voor elke site waar ik ben geregistreerd.
Ik moest ook ff wennen aan het idee van mijn wachtwoorden online, maar tot nu toe bevalt het prima.
Ik moest ook ff wennen aan het idee van mijn wachtwoorden online, maar tot nu toe bevalt het prima.
Het is nog ff wachten totdat Lastpass en Keepass zelf gehackt worden... M.i. een kwestie van tijd.
Veel succes met KeePass hacken...
Lastpass is al eens gehackt nieuws: LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack
Lastpass is al eens gehackt nieuws: LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack
Dan zal __fred__ niet leuk vinden...
Kan het zijn dat niet alleen webmail, maar ook de POP-boxen etc offline zijn? Ik heb hier tenminste problemen met het benaderen van pop.planet.nl 
edit:
Zie dat mailrelay ook offline is
. Gaat de baas niet blij mee zijn
Zie dat mailrelay ook offline is
. Gaat de baas niet blij mee zijn [Reactie gewijzigd door NaliXL op vrijdag 10 februari 2012 16:50]
mailto:postmaster@cpsmtp-fia05.kpnxchange.com
Dit bericht is nog niet bezorgd. Er wordt nog altijd geprobeerd het bericht te bezorgen.
Mijn verstuurde email komt dus ook nog niet aan.
Dit bericht is nog niet bezorgd. Er wordt nog altijd geprobeerd het bericht te bezorgen.
Mijn verstuurde email komt dus ook nog niet aan.
KPN mag voor deze accounts ook het spam filter gelijk op ultra hoog zetten 
Dit is toch wel erg schandalig dat dit bij een bedrijf als KPN gebeurd terwijl ze altijd roepen dat het niet mogelijk om de boel te hacken, nou KPN feitje voor jullie ALLES is te kraken. Prutsers
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
