Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 57, views: 17.972 •

KPN erkent dat het onderhoud van zijn systemen 'niet steeds optimaal' was. Eerder bleek dat KPN niet alle software had bijgewerkt, waardoor de hack op het bedrijf een peuleschil zou zijn geweest. De omvang van de hack is nog altijd niet duidelijk.

KPN-hackDat schrijft het bedrijf in een verklaring. "Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel", schrijft een topman van KPN, Joost Farwerck, in de verklaring. "Door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT-systemen niet steeds optimaal is geweest", vervolgt hij.

Vorige week bleek dat een groep hackers claimde dat de hack op het bedrijf 'kinderlijk eenvoudig' was doordat de servers verouderde software draaiden. KPN belooft nu om sneller te investeren in de beveiliging van zijn systemen, evenals in de modernisering ervan.

Vorige week woensdag werd bekend dat KPN was getroffen door een of meer hackers en dat die toegang hadden tot privégegevens van KPN-klanten. De precieze omvang van de hack is echter nog altijd onduidelijk. Vrijdag schreef Tweakers.net dat de hackers waren doorgedrongen tot een core-router van KPN, waardoor het internetverkeer van KPN-klanten had kunnen worden onderschept. Ook konden de aanvallers naar eigen zeggen KPN-klanten afsluiten van het internet en digitale telefonie.

Eveneens op vrijdag werden op het internet privégegevens gepubliceerd waarvan werd geclaimd dat ze van KPN-klanten afkomstig waren. Daarop haalde KPN uit voorzorg zijn e-maildienst offline. Achteraf bleek echter dat de gegevens afkomstig waren uit een andere database, van de website Baby-Dump.nl. Die werd eerder gehackt, maar die hack had niets te maken met de KPN-hack.

Dat betekent echter niet dat er geen privégegevens van KPN-klanten zijn buitgemaakt bij de hack. KPN gaf eerder aan geen bewijs te hebben dat dat was gebeurd, maar wilde niet garanderen dat er geen privégegevens zijn ontfutseld.

Gerelateerde content

Alle gerelateerde content (24)

Reacties (57)

Na deze fail en schade spreek je toch niet over: "niet optimaal"... Zeg eerlijk dat het gewoon slecht was, erg slecht!

KPN blijft nog altijd reageren als de monopolist van de overheid. Jammer maar helaas.
Quote: "niet optimaal"
Lees: "geen"
De mensen die dit beweren hebben overduidelijk nog niet op een telecommunicatienetwerk geprogammeerd of gewerkt. Het is niet de standaard java of C taal dat je daar tegenkomt hoor.

plus dat het waarschijnlijk ook een iets loggere bedrijfsstructuur is (dat kan je al eens voorhebben met grote bedrijven)
Een slechte programmeertaal hoort geen argument te zijn voor een slechte beveiliging.
Dan heb jij waarschijnlijk heel lang geleden wat gedaan in een operatoromgeving. Hoogstens op de switches wordt nog met een specifieke telecomtaal gewerkt, maar het gros van de system zijn gewone IT systemen, waar in "gewone" talen wordt geprogrammeerd.
Dit heeft niks met programmeertalen te maken, maar met het updaten van software naar de laatste versies. Dat nalaten is gewoon heel kwalijk gedrag van een bedrijf van de grootte van KPN.
De mensen die dit beweren hebben overduidelijk nog niet op een telecommunicatienetwerk geprogammeerd of gewerkt. Het is niet de standaard java of C taal dat je daar tegenkomt hoor.
Haha, je weet waar C en C++ vandaan komen? AT&T Bell Labs. De allereerste commerciele toepassing van C was in de AT&T 5ESS telefoonswitch, en die wordt tot op de dag van vandaag gebruikt.
Juist binnen zelfstandige bedrijven is het makkelijker om de schuldvraag te ontlopen, omdat het bedrijf niet langer aan politiek gebonden is.

Hetzelfde met de NS. Toen het onderdeel was van de overheid, liepen er 500 monteurs te veel rond, maar alles reed wel op tijd. Onder mom van de prijs omlaag en de service omhoog is het vervolgens zelfstandig geworden en we hebben gezien waar dat toe leidt. Kosten omhoog, bezuinigd op onderhoud en prijzen omhoog om die kosten te drukken.

Op het moment lopen er waarschijnlijk meer managers dan technici rond bij zowel KPN als de NS en die komen met dit soort verklaringen naar het publiek.
Tsja. Een beveiligingslek kan voorkomen. Het is alleen jammer dat dit blijkbaar zo ontzettend makkelijk was. En wat nog het meest trieste is in de episode, is de klaarblijkelijke onkunde van KPN. Hun 'webcare'-divisie zegt op twitter het volgende:
@johanlorier Wachtwoorden van KPN worden versleuteld met UTF8 ^BL
Na een storm van gehoon en kritiek komt er een vervolgreactie:
Eerder is gesproken over UTF8 versleuteling, dit is onjuist. We maken gebruik van een set aan versleutelingstechnieken waar UTF8 slechts een klein onderdeel van is. Uit veiligheidsoverwegingen delen we niet hoe deze set in elkaar zit.
Sorry hoor, maar dan heb je jezelf echt gediskwalificeerd. Als er dan nog gesproken was over 'encoding' of codering hadden ze in strict technische zin nog gelijk gehad, maar versleuteling, geen sprake van.

[Reactie gewijzigd door HarmoniousVibe op 13 februari 2012 11:56]

Humor.

Zeggen de MD5 dan komt er iemand over succesvolle collision attack.

Het kan nooit goed zijn. Security is inherent aan elk proces en als er iets niet te beveiliging is omwille van gebrek aan techniek, inleveren op functionaliteit of simpelweg omdat het te duur is (iedereen SSL webmail geven kost veel geld aan resources.) dient het een te managen wel overwogen rest-risico te zijn waarvan je de gevolgen (en kosten) van kunt overzien.

Tot op heden blijkt gewoon hoe incompetent ze zijn en deze "topman" heeft niet door hoe achterlijk hij overkomt. Wie is de doelgroep van die opmerking? Aandeelhouders?

Je zult nu maar als beheerders of lid van KPN-CERT bij KPN werken..... ik vraag me af of toekomstige werkgevers naar hun rol in deze major-fail is geweest.

Overigens is dit niet de eerste keer dat KPN problemen heeft. Voorgaande keren lieten ze ook al zien van hun incompetentie om dingen te down-playen en naar waarheid te communiceren.
Het lullige is natuurlijk dat de technici bij KPN echt wel weten hoe de vork in de steel zit, of in ieder geval zullen weten dat UTF8 weinig met versleuteling te maken heeft.

Een helpdesk-medewerker, waarschijnlijk met weinig technische achtergrond, heeft in eerste instantie de fout gemaakt om UTF8 te noemen in combinatie met versleuteling. Ongetwijfeld een klok-klepel verhaal. De rest van de medewerkers heeft nu bovenstaande mededeling in een briefing meegekregen, en ik kan het ze niet kwalijk nemen dat ze verder weinig inhoudelijke kennis van zaken hebben.

De manager die de boel aanstuurt zal ook opdracht hebben gekregen van KPN om te melden dat alle wachtwoorden versleuteld worden opgeslagen, maar mist daar blijkbaar ook context / kennis om dit op de juiste manier te verwoorden.

Voor mensen met kennis van zaken komt het knullig over. Voor de gemiddelde KPN klant zal het geruststellend werken om te lezen dat ze 'iets' met versleuteling doen. Welke term de KPN daarbij gebruikt zal ze een worst wezen :P

[Reactie gewijzigd door Zoefff op 13 februari 2012 12:14]

Dit is opzich ook best wel 'captain obvious',
Waarschijnlijk als alle software up-to-date was geweest was er niks aan de hand geweest..
`Klopt', configuratiefouten zijn gelukkig altijd uitgesloten bij software die bij de tijd is... *kuch*

[Reactie gewijzigd door tmarkus op 13 februari 2012 12:17]

Dat is wel een gewaagde bewering. Ik zou eerder zeggen "Waarschijnlijk als alle software up-to-date was geweest, dan was er een kans geweest dat het lastiger was om de boel te hacken".
KPN, KPN, KPN....

Ze zeggen weinig en wat ze zeggen is niet eens informatief. Wat ik me eigenlijk af vraag hoe Baby-Dump en KPN in relatie met elkaar staan. Dat is me nog steeds niet duidelijk. Hoe kun je via die site bij gegevens van KPN komen?
Het hoeven niet persé dezelfde gegevens te zijn, ze stonden alleen in exact dezelfde volgorde..

Edit:
Waarom nou weer ongewenst? Ik probeer antwoord te geven op iemands vraag?
Rare mods hier op tweakers.net..

[Reactie gewijzigd door Ablrecords op 13 februari 2012 11:31]

Dat kan je als site niet, maar de database filteren op kpnmail.nl is niet zo moeilijk. Verder waren de gegevens zelf ingegeven door de klanten tijdens het aanmaken van hun account.
Het ging om gegevens die steeds hetzelfde zijn: NAW-gegevens, telefoonnummers, e-mail adressen. Dan maakt het niet uit of je Babydump.nl of kpn.com hackt, de database bevat dezelfde info.

Helaas gold dat in veel gevallen ook voor het gebruikte wachtwoord: voor een webshop gebruikte men gewoon hetzelfde ww als voor hun e-mail.
Je kan als je KPN kwaad wil doen toch gewoon een willekeurige site die niet zo goed beveiligd is hacken en vervolgens een filter leggen op alle @kpn email adressen. Wanneer je deze dan lekt dan lijkt het net alsof KPN de zaakjes niet op orde heeft.

Wat ik me meer afvraag is in hoeverre de hack daadwerkelijk een "peuleschil" was. Ik sluit niet uit dat KPN maar al te graag de hack zal af doen als zo makkelijk was het niet maar dat aan de andere kant de hackers het misschien makkelijker laten lijken dan het is.

Is er ook wat bekend over waar de zwakke punten zich precies bevonden en wat voor soort hack het geweest is?
Veel mensen gebruiken het wachtwoord van hun e-mailaccount voor het aanmaken van een account op een webshop. Sommigen doen dit uit gemak, anderen denken juist DAT ze die gegevens moeten invullen om een account aan te kunnen maken.
Waarschijnlijk heeft de hacker de gegevens gefilterd van alle KPN klanten om het te laten lijken alsof de gegevens bij KPN vandaan kwamen.
Ene kant zeg dat het niet goed is, maargoed op welke plek is je gegevens wel beschermd vraag ik me af?

(offtopic)
in de ouderwetse telefoonboek stond toch ook je telefoon en naam? :+
in de ouderwetse telefoonboek stond toch ook je telefoon en naam?
maar niet je inlognaam en wachtwoord voor 1000 sites ;)
Maar dat laatste kan je KPN niet verwijten.
Hetzelfde wachtwoord gebruiken voor iedere site is natuurlijk niet slim. Helaas gebruiken de meesten onder ons ook dezelfde username.

Als je email account gekraakt is, is het natuurlijk een fluitje van een cent om op basis van je mailbox uit zoeken welke webshops je bezoekt. Even een password reset aanvragen, en kassa...
Hoezo kassa?, Je kunt alleen inloggen bij een webshop, maar betalen zal je toch echt via je eigen bank moeten doen, bij de Rabobank lukt dit echt niet alleen met een username en password.
Bij bol.com en Wehkamp bijvoorbeeld, kun je kiezen voor betaling per acceptgiro. Gewoon een kwestie van aflever adres wijzigen en verzendbevestiging onderscheppen...

Dit beperkt zich niet tot de huis-tuin-en-keuken webshops. Men zou ook zomaar de login gegevens / product keys van enkele sites kunnen krijgen. Steam, ESET, Sony Vegas... om een paar te noemen.

[Reactie gewijzigd door Flozem op 13 februari 2012 23:30]

En belangrijker, je adres, geboortedatum, bankrekeningnr, enz.
Die zijn overal bekend als een al een aankoop heb gedaan, of maandelijkse afrekeningen hebt.
geboortedatum , adres ect... alleen bij een sollicitatiebrief al in de wereld gebracht.
Totaal onbelangerijk dus.
Hoe kan je nu spreken dat iets niet optimaal was wanneer de totale omvang van de schade nog niet in kaart is....

Je kan dan toch nog helemaal geen conclussies trekken over de uiteindelijke schade???
Erg vreemd, dit bericht lijkt rechstreeks uit de PR afdeling van KPN te komen om de omvang van het probleem maar op alle mogelijke manieren te nuanceren.

Feit is dat je als één van de grootste telecom/ICT bedrijven van Nederland gewoon de boel voor elkaar moet hebben, er is geen excuus dat je de juiste software niet hebt draaien. Dit is op z'n zachts gezegt gewoon heel heel heel erg slordig.

Juist omdat je als bedrijf wat internet/telefoon e.d. leverd heel dicht bij de persoonlijke gegevens komt van mensen moet je zorgen dat je beveiliging voor 100% staat.....

Nu gaat het om gegevens die mogelijk zijn buit gemaakt, maar wat nu als een hacker op de servers van KPN iets installeerd wat afluisterd en/of registeerd wat jij en ik op internet doen..... Hoe makkelijk is dit in te zetten om iemand te chanteren?

Dit probleem in mijn inziens één van de grootste fails van KPN sinds het bestaan van het bedrijf.

Ze zullen er hard aan moeten werken de imago schade weer op niveau te krijgen....
Zolang klanten Internet willen tegen het laagste tarief dan is dit een gevolg, ergens moeten de kosten voor beveiliging, updaten, vervangen van betaald worden. Het is naïef om te denken dat het bij andere "goedkope" aanbieders het beter is.

De hackers hebben aangegeven dat ze toegang hadden tot de core router, maar deed werkelijk verkeer van 1 klant aftappen is dan nog niet zo makkelijk.

Uiteraard is het schokkend dat dit kan gebeuren maar niet totaal onverwachts. En het nieuws is er dat een andere providers zelfs geen wachtwoord gebruikte voor root toegang, ben benieuwd welke aanbieder dit is.
KPN is nu niet echt de goedkoopste, ISPs als Tele2 en Telfort zijn nóg goedkoper. Ik vraag me dus af voor hoevere het "voor een dubbeltje op de eerste rang willen zitten" hier van toepassing is.
psst Telfort is van KPN
Dat is zeker waar, maar Telfort is niet gehacked, het zijn de systemen van KPN die gehacked zijn ;) En in ieder geval toen ik er nog werkte waren de systemen echt niet die van KPN.

[Reactie gewijzigd door Xudonax op 13 februari 2012 12:02]

Herstel, het zijn de oude WXS systemen die gehacked zijn :-)

Anyway, het is natuurlijk ook wel ergens logisch dat een topman niet gaat zeggen dat het onderhoud aan hun systemen uitermate slecht is. Dat zou een beetje juridische zelfmoord zijn, ieder bedrijf die zaken doet met KPN zou ze dan gaan aanklagen, op deze manier kunnen ze nog proberen om iets van de schade te beperken.

Ik denk dat iedere tweaker die in dit soort gevallen/context de woorden 'niet optimaal' leest, hij wel begrijpt dat ze eigenlijk willen zeggen 'heel slecht'.
Is gekocht door KPN in 2011, maar dat wil niet zeggen dat alles meteen op dezelfde systemen draait. Dat overzetten kan maanden in beslag nemen.
Zolang klanten Internet willen tegen het laagste tarief dan is dit een gevolg, ergens moeten de kosten voor beveiliging, updaten, vervangen van betaald worden.
KPN heeft gewoon 1,5 miljard pure winst gedraaid vorig jaar hoor over een omzet van 13 miljard - is toch een marge van 12%. Daarvoor moeten die servers toch best up to date gehouden kunnen worden denk ik.
Niet optimaal, wil dus zeggen helemaal niet
Er stond een wachtwoord op dat systeem. Dat dat wachtwoord een dictionary word in l33t was is dan wel weer jammer. Het is echter wel een vorm van beveiliging.
Dat geeft je echter niet het recht om het bewust te misbruiken.
KPN belooft nu om sneller te investeren in de beveiliging van zijn systemen, evenals in de modernisering ervan.
Dus dit is gewoon een kwestie van geld neem ik aan? En wie mag dit gaan betalen...
De klanten van KPN willen trouwens ook nog schadevergoeding, dus de tarieven zullen wel weer flink omhoog gaan.
Hoezo de tarieven omhoog??? Dividend omlaag lijkt me een logischer keuze, want blijkbaar zijn de winsten van afgelopen jaren op een niet duurzame wijze behaalt. En de aandeelhouder heeft hieraan verdient, terwijl de klanten een deel van hun privacy verloren hebben...
Het is geen liefdadigheidsinstelling, dus het geld moet inderdaad ergens vandaag komen.

Wat tw33ty zegt klopt helemaal, heel leuk dat het lek nu bij KPN gevonden is, maar zoals we al eerder hebben gezien (sony en nu recentelijk ook microsoft) zijn heel veel bedrijven slecht beveiligd, het zou me dan ook niks verbazen als hackers het bij een andere willekeurige provider hadden geprobeerd dat dit ook gelukt was.
Aandeelhouders. De huidige KPN tarieven zijn zo gesteld dat ze niet al te veel klanten verliezen aan Tele2/UPC/etc. Kosten spelen daarbij geen rol.

Als je dus een kostenstijging zoals deze laat volgen door een prijsstijging, dan lopen de klanten weg. Dat is niet het geval bij algemene kostenstijgingen (bijvoorbeeld van lonen of elektiriciteit), omdat de concurrenten daar evenveel last van hebben.
" niet optimaal" . jaja, wat kan je anders zeggen. Ik ben wel heel erg benieuwd wat de OPTA tegenkomt in haar onderzoek.

"Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel" dit mag natuurlijk geen excuus zijn maar moet juist een reden zijn om als MVO er bovenop te zitten.
Ik weet het niet helemaal zeker maar volgens mij kijkt de OPTA niet echt naar de beveiliging van systemen maar meer of de wet- en regelgeving wel zijn nageleefd. Er is nergens volgens mij een wet waarin staat hoe een telecom provider zijn beveiliging technisch moet regelen.

De OPTA zal hooguit iets vinden over de beveiling i.c.m. bijvoorbeeld de bescherming van persoons gegevens.
bron nu.nl
Telecomwaakhond Opta gaat onderzoeken of KPN de zorgplicht heeft geschonden, laat een woordvoerster weten. Uit het onderzoek moet blijken of het bedrijf genoeg maatregelen heeft genomen om ervoor te zorgen dat de beveiliging op orde is. Opta kan eventueel sancties opleggen.
Even een geinige vraag: het is natuurlijk hartstikke gaaf dat dit bij KPN is gebeurt, maar durven de beheerders onder de Tweakers hun hand ervoor in het vuur te steken dat het bij hun wel goed is geregeld, en dat als er dan een keer wordt ingebroken de processen zo optimaal zijn afgestemt, dat dit binnen no-time wordt gedetecteerd en opgelost?
Sterker nog: ik hoorde vanmorgen op de radio dat de miljoenen gebruikersgegevens bij een andere (nog niet nader genoemde) provider ook op straat liggen... :p

Op dit item kan niet meer gereageerd worden.