Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties, 18.136 views •

KPN erkent dat het onderhoud van zijn systemen 'niet steeds optimaal' was. Eerder bleek dat KPN niet alle software had bijgewerkt, waardoor de hack op het bedrijf een peuleschil zou zijn geweest. De omvang van de hack is nog altijd niet duidelijk.

KPN-hackDat schrijft het bedrijf in een verklaring. "Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel", schrijft een topman van KPN, Joost Farwerck, in de verklaring. "Door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT-systemen niet steeds optimaal is geweest", vervolgt hij.

Vorige week bleek dat een groep hackers claimde dat de hack op het bedrijf 'kinderlijk eenvoudig' was doordat de servers verouderde software draaiden. KPN belooft nu om sneller te investeren in de beveiliging van zijn systemen, evenals in de modernisering ervan.

Vorige week woensdag werd bekend dat KPN was getroffen door een of meer hackers en dat die toegang hadden tot privégegevens van KPN-klanten. De precieze omvang van de hack is echter nog altijd onduidelijk. Vrijdag schreef Tweakers.net dat de hackers waren doorgedrongen tot een core-router van KPN, waardoor het internetverkeer van KPN-klanten had kunnen worden onderschept. Ook konden de aanvallers naar eigen zeggen KPN-klanten afsluiten van het internet en digitale telefonie.

Eveneens op vrijdag werden op het internet privégegevens gepubliceerd waarvan werd geclaimd dat ze van KPN-klanten afkomstig waren. Daarop haalde KPN uit voorzorg zijn e-maildienst offline. Achteraf bleek echter dat de gegevens afkomstig waren uit een andere database, van de website Baby-Dump.nl. Die werd eerder gehackt, maar die hack had niets te maken met de KPN-hack.

Dat betekent echter niet dat er geen privégegevens van KPN-klanten zijn buitgemaakt bij de hack. KPN gaf eerder aan geen bewijs te hebben dat dat was gebeurd, maar wilde niet garanderen dat er geen privégegevens zijn ontfutseld.

Gerelateerde content

Alle gerelateerde content (24)

Reacties (57)

Reactiefilter:-157055+146+28+31
Moderatie-faq Wijzig weergave
Zolang klanten Internet willen tegen het laagste tarief dan is dit een gevolg, ergens moeten de kosten voor beveiliging, updaten, vervangen van betaald worden. Het is naïef om te denken dat het bij andere "goedkope" aanbieders het beter is.

De hackers hebben aangegeven dat ze toegang hadden tot de core router, maar deed werkelijk verkeer van 1 klant aftappen is dan nog niet zo makkelijk.

Uiteraard is het schokkend dat dit kan gebeuren maar niet totaal onverwachts. En het nieuws is er dat een andere providers zelfs geen wachtwoord gebruikte voor root toegang, ben benieuwd welke aanbieder dit is.
KPN is nu niet echt de goedkoopste, ISPs als Tele2 en Telfort zijn nóg goedkoper. Ik vraag me dus af voor hoevere het "voor een dubbeltje op de eerste rang willen zitten" hier van toepassing is.
psst Telfort is van KPN
Dat is zeker waar, maar Telfort is niet gehacked, het zijn de systemen van KPN die gehacked zijn ;) En in ieder geval toen ik er nog werkte waren de systemen echt niet die van KPN.

[Reactie gewijzigd door Xudonax op 13 februari 2012 12:02]

Herstel, het zijn de oude WXS systemen die gehacked zijn :-)

Anyway, het is natuurlijk ook wel ergens logisch dat een topman niet gaat zeggen dat het onderhoud aan hun systemen uitermate slecht is. Dat zou een beetje juridische zelfmoord zijn, ieder bedrijf die zaken doet met KPN zou ze dan gaan aanklagen, op deze manier kunnen ze nog proberen om iets van de schade te beperken.

Ik denk dat iedere tweaker die in dit soort gevallen/context de woorden 'niet optimaal' leest, hij wel begrijpt dat ze eigenlijk willen zeggen 'heel slecht'.
Is gekocht door KPN in 2011, maar dat wil niet zeggen dat alles meteen op dezelfde systemen draait. Dat overzetten kan maanden in beslag nemen.
Zolang klanten Internet willen tegen het laagste tarief dan is dit een gevolg, ergens moeten de kosten voor beveiliging, updaten, vervangen van betaald worden.
KPN heeft gewoon 1,5 miljard pure winst gedraaid vorig jaar hoor over een omzet van 13 miljard - is toch een marge van 12%. Daarvoor moeten die servers toch best up to date gehouden kunnen worden denk ik.
Na deze fail en schade spreek je toch niet over: "niet optimaal"... Zeg eerlijk dat het gewoon slecht was, erg slecht!

KPN blijft nog altijd reageren als de monopolist van de overheid. Jammer maar helaas.
Tsja. Een beveiligingslek kan voorkomen. Het is alleen jammer dat dit blijkbaar zo ontzettend makkelijk was. En wat nog het meest trieste is in de episode, is de klaarblijkelijke onkunde van KPN. Hun 'webcare'-divisie zegt op twitter het volgende:
@johanlorier Wachtwoorden van KPN worden versleuteld met UTF8 ^BL
Na een storm van gehoon en kritiek komt er een vervolgreactie:
Eerder is gesproken over UTF8 versleuteling, dit is onjuist. We maken gebruik van een set aan versleutelingstechnieken waar UTF8 slechts een klein onderdeel van is. Uit veiligheidsoverwegingen delen we niet hoe deze set in elkaar zit.
Sorry hoor, maar dan heb je jezelf echt gediskwalificeerd. Als er dan nog gesproken was over 'encoding' of codering hadden ze in strict technische zin nog gelijk gehad, maar versleuteling, geen sprake van.

[Reactie gewijzigd door HarmoniousVibe op 13 februari 2012 11:56]

Het lullige is natuurlijk dat de technici bij KPN echt wel weten hoe de vork in de steel zit, of in ieder geval zullen weten dat UTF8 weinig met versleuteling te maken heeft.

Een helpdesk-medewerker, waarschijnlijk met weinig technische achtergrond, heeft in eerste instantie de fout gemaakt om UTF8 te noemen in combinatie met versleuteling. Ongetwijfeld een klok-klepel verhaal. De rest van de medewerkers heeft nu bovenstaande mededeling in een briefing meegekregen, en ik kan het ze niet kwalijk nemen dat ze verder weinig inhoudelijke kennis van zaken hebben.

De manager die de boel aanstuurt zal ook opdracht hebben gekregen van KPN om te melden dat alle wachtwoorden versleuteld worden opgeslagen, maar mist daar blijkbaar ook context / kennis om dit op de juiste manier te verwoorden.

Voor mensen met kennis van zaken komt het knullig over. Voor de gemiddelde KPN klant zal het geruststellend werken om te lezen dat ze 'iets' met versleuteling doen. Welke term de KPN daarbij gebruikt zal ze een worst wezen :P

[Reactie gewijzigd door Zoefff op 13 februari 2012 12:14]

Humor.

Zeggen de MD5 dan komt er iemand over succesvolle collision attack.

Het kan nooit goed zijn. Security is inherent aan elk proces en als er iets niet te beveiliging is omwille van gebrek aan techniek, inleveren op functionaliteit of simpelweg omdat het te duur is (iedereen SSL webmail geven kost veel geld aan resources.) dient het een te managen wel overwogen rest-risico te zijn waarvan je de gevolgen (en kosten) van kunt overzien.

Tot op heden blijkt gewoon hoe incompetent ze zijn en deze "topman" heeft niet door hoe achterlijk hij overkomt. Wie is de doelgroep van die opmerking? Aandeelhouders?

Je zult nu maar als beheerders of lid van KPN-CERT bij KPN werken..... ik vraag me af of toekomstige werkgevers naar hun rol in deze major-fail is geweest.

Overigens is dit niet de eerste keer dat KPN problemen heeft. Voorgaande keren lieten ze ook al zien van hun incompetentie om dingen te down-playen en naar waarheid te communiceren.
Juist binnen zelfstandige bedrijven is het makkelijker om de schuldvraag te ontlopen, omdat het bedrijf niet langer aan politiek gebonden is.

Hetzelfde met de NS. Toen het onderdeel was van de overheid, liepen er 500 monteurs te veel rond, maar alles reed wel op tijd. Onder mom van de prijs omlaag en de service omhoog is het vervolgens zelfstandig geworden en we hebben gezien waar dat toe leidt. Kosten omhoog, bezuinigd op onderhoud en prijzen omhoog om die kosten te drukken.

Op het moment lopen er waarschijnlijk meer managers dan technici rond bij zowel KPN als de NS en die komen met dit soort verklaringen naar het publiek.
Quote: "niet optimaal"
Lees: "geen"
De mensen die dit beweren hebben overduidelijk nog niet op een telecommunicatienetwerk geprogammeerd of gewerkt. Het is niet de standaard java of C taal dat je daar tegenkomt hoor.

plus dat het waarschijnlijk ook een iets loggere bedrijfsstructuur is (dat kan je al eens voorhebben met grote bedrijven)
De mensen die dit beweren hebben overduidelijk nog niet op een telecommunicatienetwerk geprogammeerd of gewerkt. Het is niet de standaard java of C taal dat je daar tegenkomt hoor.
Haha, je weet waar C en C++ vandaan komen? AT&T Bell Labs. De allereerste commerciele toepassing van C was in de AT&T 5ESS telefoonswitch, en die wordt tot op de dag van vandaag gebruikt.
Een slechte programmeertaal hoort geen argument te zijn voor een slechte beveiliging.
Dan heb jij waarschijnlijk heel lang geleden wat gedaan in een operatoromgeving. Hoogstens op de switches wordt nog met een specifieke telecomtaal gewerkt, maar het gros van de system zijn gewone IT systemen, waar in "gewone" talen wordt geprogrammeerd.
Dit heeft niks met programmeertalen te maken, maar met het updaten van software naar de laatste versies. Dat nalaten is gewoon heel kwalijk gedrag van een bedrijf van de grootte van KPN.
KPN, KPN, KPN....

Ze zeggen weinig en wat ze zeggen is niet eens informatief. Wat ik me eigenlijk af vraag hoe Baby-Dump en KPN in relatie met elkaar staan. Dat is me nog steeds niet duidelijk. Hoe kun je via die site bij gegevens van KPN komen?
Je kan als je KPN kwaad wil doen toch gewoon een willekeurige site die niet zo goed beveiligd is hacken en vervolgens een filter leggen op alle @kpn email adressen. Wanneer je deze dan lekt dan lijkt het net alsof KPN de zaakjes niet op orde heeft.

Wat ik me meer afvraag is in hoeverre de hack daadwerkelijk een "peuleschil" was. Ik sluit niet uit dat KPN maar al te graag de hack zal af doen als zo makkelijk was het niet maar dat aan de andere kant de hackers het misschien makkelijker laten lijken dan het is.

Is er ook wat bekend over waar de zwakke punten zich precies bevonden en wat voor soort hack het geweest is?
Dat kan je als site niet, maar de database filteren op kpnmail.nl is niet zo moeilijk. Verder waren de gegevens zelf ingegeven door de klanten tijdens het aanmaken van hun account.
Het ging om gegevens die steeds hetzelfde zijn: NAW-gegevens, telefoonnummers, e-mail adressen. Dan maakt het niet uit of je Babydump.nl of kpn.com hackt, de database bevat dezelfde info.

Helaas gold dat in veel gevallen ook voor het gebruikte wachtwoord: voor een webshop gebruikte men gewoon hetzelfde ww als voor hun e-mail.
Veel mensen gebruiken het wachtwoord van hun e-mailaccount voor het aanmaken van een account op een webshop. Sommigen doen dit uit gemak, anderen denken juist DAT ze die gegevens moeten invullen om een account aan te kunnen maken.
Waarschijnlijk heeft de hacker de gegevens gefilterd van alle KPN klanten om het te laten lijken alsof de gegevens bij KPN vandaan kwamen.
Het hoeven niet persé dezelfde gegevens te zijn, ze stonden alleen in exact dezelfde volgorde..

Edit:
Waarom nou weer ongewenst? Ik probeer antwoord te geven op iemands vraag?
Rare mods hier op tweakers.net..

[Reactie gewijzigd door leroydev op 13 februari 2012 11:31]

Misschien is de communicatie vanuit KPN naar de klanten niet 100%, maar beter rigoreuze maatregelen om de hackers te dwarsbomen dan helemaal niets doen. Dat de klanten dan een dag of 2 geen mail hebben (hoeveel hebben er trouwens niet meerdere alternatieve mailaccounts buiten de KPN-lijn ?), is vervelend, maar zo vaak komt dit ook weer niet voor. Ben zelf inmiddels 30 jaar KPN-klant en dit is echt de eerste keer dat ik dit ervaar. Bij andere providers zijn veel vaker storingen, alleen communiceert en publiceert men dit wat "beter". Wat is nu belangrijker ? Een goed functionerend technisch geheel of een marketingmachine ?
Om de hackers te dwarsbomen? Volgens mij zijn hier alleen maar de klanten van KPN gedwarsboomd in het dagelijks gebruik van hun mail abonnement en lachen de hackers zich alleen maar rot...

Misschien is het dertig jaar goed gegaan, maar misschien is dit ook het begin van veel meer komende ellende!

Beiden zijn belangrijk, zowel een goede IT infra alswel goede communicatie. KPN heeft bij beiden gefaald.
is het KPN aan te rekenen dat ze het zekere voor het onzekere nemen? Ze hadden al de statement gemaakt dat er geen persoonlijke gegevens ontvreemd zijn. naar nu blijkt, is dat wellicht waar, maar vervolgens komt er een dump, van gegevens die afkomstig lkijken te zijn van KPN.

Zou jij dan eerst communiceren naar de klant dat er een (mogelijk) probleem is, wachten tot iedereen op de hoogte is, en dan pas technische maatregelen treffen om je klanten te beschermen? Dat zou hoogst onlogisch zijn, en er alleen voor zorgen dat je jezelf nog ongeloofwaardiger maakt.

Daar komt nog bij dat KPN nog altijd een groot doelwit is, waarbij argumenten als 'log oud staatsbedrijf' nog steeds een slecht onderbuik gevoel weergeven, en je kan daarom als bedrijf nooit iets goeddoen. Je bent wat je ook doet, altijd de schuldige.

Mocht hetzelfde gebeurt zijn bij XS4All, of eender ander van de 'beter gewaardeerde' providers', dan was er lang niet zo breed aan gemeten, en was de conclusie geweest dat de provider het goed afgehandeld had. Dat wil niet zeggen dat het geen groot nieuws zou zijn, maar er zou een stuk minder 'zie je wel' geroepen zijn.
" niet optimaal" . jaja, wat kan je anders zeggen. Ik ben wel heel erg benieuwd wat de OPTA tegenkomt in haar onderzoek.

"Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel" dit mag natuurlijk geen excuus zijn maar moet juist een reden zijn om als MVO er bovenop te zitten.
Ik weet het niet helemaal zeker maar volgens mij kijkt de OPTA niet echt naar de beveiliging van systemen maar meer of de wet- en regelgeving wel zijn nageleefd. Er is nergens volgens mij een wet waarin staat hoe een telecom provider zijn beveiliging technisch moet regelen.

De OPTA zal hooguit iets vinden over de beveiling i.c.m. bijvoorbeeld de bescherming van persoons gegevens.
bron nu.nl
Telecomwaakhond Opta gaat onderzoeken of KPN de zorgplicht heeft geschonden, laat een woordvoerster weten. Uit het onderzoek moet blijken of het bedrijf genoeg maatregelen heeft genomen om ervoor te zorgen dat de beveiliging op orde is. Opta kan eventueel sancties opleggen.
KPN belooft nu om sneller te investeren in de beveiliging van zijn systemen, evenals in de modernisering ervan.
Dus dit is gewoon een kwestie van geld neem ik aan? En wie mag dit gaan betalen...
De klanten van KPN willen trouwens ook nog schadevergoeding, dus de tarieven zullen wel weer flink omhoog gaan.
Hoezo de tarieven omhoog??? Dividend omlaag lijkt me een logischer keuze, want blijkbaar zijn de winsten van afgelopen jaren op een niet duurzame wijze behaalt. En de aandeelhouder heeft hieraan verdient, terwijl de klanten een deel van hun privacy verloren hebben...
Het is geen liefdadigheidsinstelling, dus het geld moet inderdaad ergens vandaag komen.

Wat tw33ty zegt klopt helemaal, heel leuk dat het lek nu bij KPN gevonden is, maar zoals we al eerder hebben gezien (sony en nu recentelijk ook microsoft) zijn heel veel bedrijven slecht beveiligd, het zou me dan ook niks verbazen als hackers het bij een andere willekeurige provider hadden geprobeerd dat dit ook gelukt was.
Aandeelhouders. De huidige KPN tarieven zijn zo gesteld dat ze niet al te veel klanten verliezen aan Tele2/UPC/etc. Kosten spelen daarbij geen rol.

Als je dus een kostenstijging zoals deze laat volgen door een prijsstijging, dan lopen de klanten weg. Dat is niet het geval bij algemene kostenstijgingen (bijvoorbeeld van lonen of elektiriciteit), omdat de concurrenten daar evenveel last van hebben.
Dit is opzich ook best wel 'captain obvious',
Waarschijnlijk als alle software up-to-date was geweest was er niks aan de hand geweest..
`Klopt', configuratiefouten zijn gelukkig altijd uitgesloten bij software die bij de tijd is... *kuch*

[Reactie gewijzigd door tmarkus op 13 februari 2012 12:17]

Dat is wel een gewaagde bewering. Ik zou eerder zeggen "Waarschijnlijk als alle software up-to-date was geweest, dan was er een kans geweest dat het lastiger was om de boel te hacken".
Ene kant zeg dat het niet goed is, maargoed op welke plek is je gegevens wel beschermd vraag ik me af?

(offtopic)
in de ouderwetse telefoonboek stond toch ook je telefoon en naam? :+
in de ouderwetse telefoonboek stond toch ook je telefoon en naam?
maar niet je inlognaam en wachtwoord voor 1000 sites ;)
Maar dat laatste kan je KPN niet verwijten.
Hetzelfde wachtwoord gebruiken voor iedere site is natuurlijk niet slim. Helaas gebruiken de meesten onder ons ook dezelfde username.

Als je email account gekraakt is, is het natuurlijk een fluitje van een cent om op basis van je mailbox uit zoeken welke webshops je bezoekt. Even een password reset aanvragen, en kassa...
Hoezo kassa?, Je kunt alleen inloggen bij een webshop, maar betalen zal je toch echt via je eigen bank moeten doen, bij de Rabobank lukt dit echt niet alleen met een username en password.
Bij bol.com en Wehkamp bijvoorbeeld, kun je kiezen voor betaling per acceptgiro. Gewoon een kwestie van aflever adres wijzigen en verzendbevestiging onderscheppen...

Dit beperkt zich niet tot de huis-tuin-en-keuken webshops. Men zou ook zomaar de login gegevens / product keys van enkele sites kunnen krijgen. Steam, ESET, Sony Vegas... om een paar te noemen.

[Reactie gewijzigd door Flozem op 13 februari 2012 23:30]

En belangrijker, je adres, geboortedatum, bankrekeningnr, enz.
Die zijn overal bekend als een al een aankoop heb gedaan, of maandelijkse afrekeningen hebt.
geboortedatum , adres ect... alleen bij een sollicitatiebrief al in de wereld gebracht.
Totaal onbelangerijk dus.
Even een geinige vraag: het is natuurlijk hartstikke gaaf dat dit bij KPN is gebeurt, maar durven de beheerders onder de Tweakers hun hand ervoor in het vuur te steken dat het bij hun wel goed is geregeld, en dat als er dan een keer wordt ingebroken de processen zo optimaal zijn afgestemt, dat dit binnen no-time wordt gedetecteerd en opgelost?
Sterker nog: ik hoorde vanmorgen op de radio dat de miljoenen gebruikersgegevens bij een andere (nog niet nader genoemde) provider ook op straat liggen... :p
"niet optimaal", right. Ze hebben wel gevoel voor humor bij KPN :{

En dat de ontwikkelingen zo razendsnel gaan zou juist een kans moeten zijn voor een grote speler als KPN. In plaats daarvan wenden ze het aan als excuus voor hun falen. :N Als ik al klant van KPN was zou ik dat nu beëindigen, ze zijn veel te log geworden.
Ik vraag me wel eens af hoeveel mensen die hier van moord en brand schreeuwen wel eens een server gehad hebben met de nodige maatsoftware erop.

Er is altijd een afweging tussen updates en dingen mogelijk stukmaken of de oudere versie blijven draaien.

Op de nodige servers waar code op draait moet bij iedere update weer het een en ander getest worden en dat kost tijd en dus ook geld.

Ik begrijp dat er een gulden middenweg in gevonden moet worden maar zo afgeven tegen KPN is erg makkelijk zonder dat we precies weten:
- van wanneer de bug is gevonden
- hoeveel moeite het kost om te updaten
- wat de bug is
- waarom een extra veiligheidsvoorziening het niet beschermde

Hopelijk neemt de Opta een verstandige onderzoekspartij in de armen die zich niet laat leiden door het gezever van de gemiddelde Nederlander en tweaker.

If it ain't broke don't fix.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True