KPN maakt blunder met standaardwachtwoord Z-adsl-accounts

De beheeraccounts van 120.000 tot 140.000 zakelijke KPN-klanten waren eenvoudig te benaderen door onbevoegden, omdat gebruikers niet verplicht waren het standaardwachtwoord aan te passen. Onder meer waren wachtwoorden te wijzigen.

KPN gebruikte het standaardwachtwoord 'welkom01', waarmee zakelijke adsl-klanten konden inloggen op het Customer Self Center, maar eiste niet dat klanten dit wachtwoord wijzigden. Onbevoegden konden dus eenvoudig inloggen op het Customer Self Center. Daar konden ze bijvoorbeeld het e-mailadres wijzigen, de verbindingssnelheid aanpassen, extra diensten aanvragen of opheffen, en bankrekeningnummer en wachtwoord wijzigen. Robert Schagen van ict-bedrijf Robert 4U IT ontdekte de beveiligingskwetsbaarheid en meldde deze aan Webwereld.

Volgens KPN zelf hadden 120.000 van de 180.000 Z-adsl-klanten niet de moeite genomen het standaardwachtwoord te wijzigen, daarnaast waren nog eens 20.000 accounts kwetsbaar omdat klanten hun gebruikersnaam ook als wachtwoord gebruikten. De gebruikersnaam bestaat uit de combinatie 'postcode+huisnummer' en was daarmee eenvoudig te achterhalen.

KPN heeft dinsdag, na op de kwetsbaarheden gewezen te zijn, het Customer Self Center voor Z-adsl onbereikbaar gemaakt en de wachtwoorden vervangen. De provider gaat de desbetreffende 140.000 klanten waarschuwen dat ze hun wachtwoord moeten wijzigen. Donderdagmiddag moet de site weer bereikbaar zijn.

IT-banen

Reacties (110)

Ankh 5 juli 2012 10:44

Dit was toch niet alleen zakelijk, maar ook prive?

Mijn opa en oma hebben ook ADSL van KPN en hebben toentertijd een brief gehad met hun inlog gegevens. Daarbij kregen ze als password: vogelhuis01.

Een kennis vroeg op datzelfde moment ook ADSL aan en kreeg precies dezelfde brief (andere gebruikersnaam, maar wel zelfde password)...

Beide waren niet verplicht om hun password te veranderen. En dan praat ik over 3 jaar geleden.

vossejongk 6 juli 2012 08:44

hoezo de schuld van kpn? als mensen er voor kiezen om hun wachtwoord niet te wijzigen is dat toch zeker hun probleem.

Anthirian 5 juli 2012 09:40

Erg knullig zeg. Ik ben benieuwd hoeveel geld dit de gedupeerde bedrijven heeft gekost.

CDL76 @Anthirian • 5 juli 2012 10:22

hmm dus ik ben ook gedupeerd als iemand inbreekt op mijn mail omdat mijn gebruikersnaam en wachtwoord allebei pietje1 zijn? Dat is toch echt hun verantwoordelijkheid.

Er zijn een hoop bedrijven die enorm laks zijn met dit soort dingen. Dan daarna roepen ze ik wil miljoenen hebben want jullie hebben niet goed voorgelicht. Dat werkt niet zo, mensen moeten zelf nadenken. Als je te stom bent om te bedenken dat welkom01 een standaard wachtwoord voor iedereen is dan is het misschien niet slecht als je het een keer merkt doordat iemand dingen voor je aanpast.

Riqy @CDL76 • 5 juli 2012 10:34

En hetgene dat ik dan vind, is dat KPN meer moet forceren dat de klanten een moeilijkere combinatie van gebruikersnaam en wachtwoord gebruiken.

Maar dat doen ze ook niet...

Als dat wel gebeurd was, had dit hele probleem nooit kunnen ontstaan en was gewoon iedereen "goed" beschermd geweest...

Verwijderd @Anthirian • 5 juli 2012 09:45

Gedupeerde bedrijven? Volgens mij bestaat er nog altijd zoiets als 'eigen verantwoordelijkheid'. Ja, KPN had meer kunnen eisen van de klanten, maar aan de andere kant hadden de ruim 20.000 klanten ook de moeite kunnen nemen om een behoorlijk wachtwoord in te stellen.

Roko @Verwijderd • 5 juli 2012 09:48

Inderdaad. Hoe vaak moet men er nog op gewezen worden om geen default wachtwoorden te gebruiken. Helemaal als zakelijke klant zou je dat besef toch wel moeten hebben

Riqy @Roko • 5 juli 2012 10:00

Maar een groot deel van de zakelijke klanten heeft zelf 0,0 verstand van dit soort zaken, dus dan vind ik het toch meer de verantwoordelijkheid van de ISP dan van de klant zelf...

Fealine @Riqy • 5 juli 2012 10:05

Juist van de zakelijke klanten mag je een beetje inteligentie verwachten.

-Tom @Fealine • 5 juli 2012 10:21

Vanuit het oogpunt van een tweaker is dat een logische wijze van beredeneren. Kijken we naar de realiteit, dan belanden we in een andere wereld. Een ondernemer is niet gelijk een enorme onderneming, maar ook de eenmanszaak, een bescheiden B.V. of de maatschap die zich richt op het voeren van een kleinschalige tandartsenpraktijk.

Er zijn genoeg 'entiteiten' die op papier klinken als enorme bedrijven, maar zakelijke klanten kunnen ook het midden- en kleinbedrijf betreffen. Bij deze bedrijven moet het 'gewoon werken'. Het zijn van een zakelijke klant maakt de eindgebruiker niet veel intelligenter.

Vanuit de ICT moet je er vanuit gaan dat de gebruiker ontwetend is, anders loop je zoals nu het geval is imagoschade op. Medisch personeel verwacht ook niet van ons dat we ons inlezen op een ziekte die we eventueel hebben. De gebruiker moet kunnen vertrouwen op een product, simpelweg omdat ze zich bezig moeten kunnen houden met hun core business.

Pmf1971 @-Tom • 5 juli 2012 10:55

Wat mij betreft ben je als zelfstandig ondernemer een onderneming niet echt waardig, als je diverse aspecten van je onderneming onderschat. En ICT/automatisering is nou net dàt onderdeel van de ondermening die onmisbaar is en ZEER onderschat wordt. In ieder geval in de kleine ondernemingen.

Een goed ondernemer laat zich adviseren over de onderdelen van de zaak waar hij geen verstand van heeft. Maar de meesten doen dat niet want dat kost geld. Wat zij echter niet realiseren dat iets geld in je automatisering steken meestal een goede investering is.

[Reactie gewijzigd door Pmf1971 op 27 juli 2024 02:35]

Eagle Creek

@Pmf1971 • 5 juli 2012 11:11

En ICT/automatisering is nou net dàt onderdeel van de ondermening die onmisbaar is en ZEER onderschat wordt

Ook dat is maar helemaal de vraag. Hoe vaak zal het bij kleine(re) bedrijven niet nog steeds voorkomen dat "de zoon van de baas", "die kennis van vroeger" of "de buurman die handig is met computers" verantwoordelijk is voor de gehele ICT-voorziening. En zelfs bij bedrijven tot 150 man heb ik dikwijls twee systeembeheerders aan het werk gezien die tot over hun oren in het werk zitten en al blij zijn als alles draait.

Vergeet niet dat veel ondernemers vooral bezig zijn met ondernemen: ICT valt niet onder de core business en wordt soms zelfs gezien als noodzakelijk kwaad. Een glazenwassersbedrijf ziet ICT echt niet als zeer onmisbaar, zo dunkt mij. Het is handig voor klantcontact en facturatie en als ze modern en hip zijn zoeken ze adressen op bij Google Maps. Maar daar houdt het dan ook wel op. Echt niet elk bedrijf heeft het geld om een professionele systeembeheerder / systeembeheerfirma aan het werk te zetten.

Je kunt wel stellen dat iemand zich moet laten informeren, maar goed laten informeren kost geld. Er zijn tal van risico's die een ondernemer moet accepteren: denk aan risico's op het gebied van arbeidsongeschiktheid, pensioenen, brand- en inbraakschade, (belasting) wet- en regelgeving. Als een kleine V.O.F. voor al deze vakgebieden een blik consultants open moet trekken is het snel gedaan met de business.

De verantwoording moet van twee kanten komen maar dat neemt niet weg dat de provider, in mijn ogen, een zorgplicht heeft. De fout die KPN hier gemaakt heeft is een knullige. Evenals het überhaupt toestaan van het instellen van een wachtwoord dat gelijk is aan de gebruikersnaam. Security staat dan niet gestructureerd genoeg op het programma, willen dergelijke zaken niet opgemerkt worden.

Deze designspecificaties zijn ooit eens toegevoegd omdat het in het verleden blijkbaar te vaak is misgegaan. Dat het hier om zakelijke aansluitingen gaat en niet om privégebruikers doet in mijn ogen daar weinig aan af

[Reactie gewijzigd door Eagle Creek op 27 juli 2024 02:35]

Verwijderd @Eagle Creek • 5 juli 2012 11:56

Ook dat is maar helemaal de vraag. Hoe vaak zal het bij kleine(re) bedrijven niet nog steeds voorkomen dat "de zoon van de baas", "die kennis van vroeger" of "de buurman die handig is met computers" verantwoordelijk is voor de gehele ICT-voorziening. En zelfs bij bedrijven tot 150 man heb ik dikwijls twee systeembeheerders aan het werk gezien die tot over hun oren in het werk zitten en al blij zijn als alles draait.

Die zoon of die twee systeembeheerders weten dan volgens mij wel het belang van wachtwoorden. Als zij het standaardwachtwoord niet wijzigen is dat gewoonweg dom.

Verder is het regelmatig in het nieuws dat sites en bedrijfsgegevens gehackt worden. In die berichtgeving wordt altijd de nadruk gelegd op het belang van goeie wachtwoorden. Ook niet it-ers weten dit inmiddels. Een ondernemer is op andere vlakken ook voorzichtig met zijn gegevens. Zeker in 2012 (eigenlijk eerder al) zou ie dat ook op it-vlak moeten zijn.

SunnieNL

@Verwijderd • 5 juli 2012 15:16

De standaard wachtwoorden zouden in het beginsel niet eens standaard mogen zijn. Bij een zakelijke dienst behoort het initiele wachtwoord random te worden aangemaakt. Je stuurt toch al een brief naar de klant met daarin een standaard wachtwoord, kleine moeite om die zo aan te passen dat er een random wachtwoord in komt te staan.

Daarmee los je 99% van de problemen die er nu zijn al op. Dan hoef je ook niet meer te eisen of er vanuit te gaan dat mensen toch wel hun wachtwoord veranderen

Pmf1971 @Eagle Creek • 5 juli 2012 11:34

Ik heb het over die giga berg kleine ondernemingen met hooguit enkele mensen in dienst. En die zoon van de baas die de ICT doet? Die weet vaak van toeten noch blazen, die dènkt het te kunnen.

Je hebt gelijk wat betreft die blik consultants. Maar ICT is toch wel een hele belangrijke. Al is het maar een helf uurtje iemand laten zien wat je hebt. Vaak wordt gezegd dat wat hij heeft voldoende is en worden er slechts enkele kanttekeningen gemaakt, dingen waarop hij kan letten. Veel consultants houden tegenwoordig ook rekening met de portemonnee van de onderneming.

Je hoeft niet een ICT-er in dienst te nemen, wat ik bedoelde is dat je als ondernemer in ieder geval op de hoogte bent van de status van je automatisering.

[Reactie gewijzigd door Pmf1971 op 27 juli 2024 02:35]

Caelestis @-Tom • 5 juli 2012 12:23

Onwetend tot welk niveau?

Iedereen die met enig vorm van automatisering te maken heeft is volledig bekend met het concept "wachtwoord".
En dan heb je het over zaken als inloggen in je PC, email account, twitter, facebook, telefoon, alarm systeem, pinpas en dergelijken. Je kan zelfs zover gaan dat je het door trekt naar het gebruik van sleutels voor je huis, schuur, auto, fiets en ga zo maar door.

Op een begeven moment kan je niet meer zeggen dat je onwetend bent maar meer laks.
Als je een nieuwe auto koopt dan verwacht je toch ook niet dat de dealer je een lectuur geeft over hoe je de auto op slot doet en hoe om te gaan met de sleutel zodra het zover is?

Als men het heeft over onwetend in ICT dan denk ik toch echt meer aan software installaties, instellen, updates, advies en onderhoud maar niet aan je wachtwoorden veilig gebruiken.
Dat excuus kon je nog in 2000 gebruiken maar 12 jaar later is het toch echt wel gemeen goed, natuurlijk heb je wat oudere mensen die er moeite mee hebben maar het hele grap is juist die mensen het vragen aan de "experts" of kennissen en zijn niet het probleem doelgroep.

Toff @Caelestis • 5 juli 2012 13:54

Vanuit het oogpunt van een ondernemende vijftiger kan je ook anders redeneren. Bijvoorbeeld: "Mijn vaste telefoon heeft geen wachtwoord. Internet komt via dezelfde draad binnen. Waarom zou er een wachtwoord op internet zitten?"
Natuurlijk denkt niemand zo, maar ik kan me goed voorstellen dat het idee dat ergens een (goed) wachtwoord op zou kunnen/moeten zitten niet bij iedereen als vanzelf opkomt. Als zelfs ministers hun voicemail niet beveiligen, hoe kan je dat dan van de gemiddelde kleine ondernemer verwachten?

0scar @Caelestis • 5 juli 2012 16:28

Ik vraag me toch echt af hoeveel mensen de sloten van hun nieuwe auto of tweedehands auto vervangen. Je weet maar nooit of de dealer of respectievelijk de vorige eigenaar je auto komt lenen...

Gegenereerd password moet gewoon uniek zijn per (zakelijke) gebruiker. Helaas, zijn er nog steeds passwords die je krijgt die niet aan te passen zijn.

Coromoto @-Tom • 5 juli 2012 10:53

Inderdaad. En juist zakelijke klanten staan geregistreerd in allerlei databases, gidsen en lijsten. Hun postcodes en huisnummers staan erbij, eventueel hun rekeningnummers ook (KvK). Het uitgeven van toegangsinformatie dat volgens een algemeen bekend algoritme gegenereerd is uit deze publiek beschikbare gegevens is uit den boze in mijn visie.

Onwetendheid of laksheid bij de gebruiker heeft er weinig mee te maken bij deze zaken. Het account bestaat al een tijd vóór de klant de bewuste brief en gegevens heeft ontvangen of er zelfs op heeft kunnen reageren door bijvoorbeeld het wachtwoord aan te passen, en tot die tijd heeft een kwaadwillende vrije hand. Dan probeert de klant met de aan hem verstrekte gegevens aan te melden en komt er of achter dat het niet lukt, of dat er misbruik is gemaakt van de dienst.

Dus moet het van de leverancier uit al goed beveiligd worden. Voordat ik die eerste keer met mijn auto wegrij bij de dealer moet de sleutel al uniek zijn, anders kan de auto terwijl het wacht op mij al 'meegenomen' worden door een ander!

Quipeace @Fealine • 5 juli 2012 10:23

Bij zakelijke klanten vind ik dan dat je juist geen onnodig risico mag lopen, en zeker geen aannames mag maken wanneer het gaat om beveiliging en de intelligentie van de gebruiker.

Het moeten veranderen van het standaard wachtwoord is op veel meer plekken te vinden, het is dusdanig "standaard" dat je dat toch wel van een ISP kan verwachten?

SgtElPotato @Fealine • 5 juli 2012 18:53

Dat vind ik een kort door de bocht opmerking. De zakelijk klant sluit niet voor niet een zakelijk contract af bij KPN. Hij wil namelijk zo snel mogelijk internet op zijn locatie, zonder zelf iets te hoeven doen.
Dat KPN het aan de gebruiker over laat vind ik een slechte zaak, de monteur had dat dan op zijn minst aan moeten geven.

MrXen0 @Riqy • 5 juli 2012 10:09

Ik vind dat de ISP hier maar deels verantwoordelijkheid voor heeft. Tuurlijk is het slordig dat ze deze klanten niet hebben geforceerd om een ander wachtwoord in te stellen maar wanneer je als bedrijf/zelfstandig ondernemer niet het besef hebt dat je een gepersonaliseerd wachtwoord moet instellen verdien of roep je het ook wel een beetje op jezelf af.

shenr @MrXen0 • 5 juli 2012 10:41

Dus als de aannemer in alle nieuwbouwhuizen in de wijk dezelfde sloten heeft gemonteerd is het ook mijn schuld dat ik mijn slot niet heb vervangen, want ik had moeten weten dat alle nieuwbouwhuizen dezelfde slot hebben? De volledige verantwoordelijkheid ligt hier bij KPN. 10 jaar terug hadden dit soort knullige fouten door de vingers gezien kunnen worden, omdat toen internet nog op komst was en er weinig kennis was. Maar tegenwoordig, juist met alle hack aanvallen en beveiligingslekken mogen dit soort knullige fouten niet meer voorkomen. Kleinste moeite om bij eerste gebruik van internetverbinding het wachtwoord te laten wijzigen, zo ging het ook bij mijn isp, eerste keer gebruik van modem en je komt op een pagina van isp waar je o.a. je wachtwoord moet wijzigen.

Je moet beseffen dat het overgrote deel van de mensen nog niet door heeft hoe belangrijk een sterk wachtwoord is, of het besef wel heeft, maar het moeilijk vindt om een sterk wachtwoord te onthouden. Je zou eens moeten weten wat voor wachtwoorden op de werkvloer worden ingesteld. Daar is welkom01 zelfs sterker dan de meesten verwacht ik.

[Reactie gewijzigd door shenr op 23 juli 2024 04:18]

SED @shenr • 5 juli 2012 11:18

leuke analogie maar... Dus als de aannemer in alle nieuwbouwhuizen in de wijk dezelfde sloten heeft gemonteerd is het ook mijn schuld dat ik mijn slot niet heb vervangen, want ik had moeten weten dat alle nieuwbouwhuizen dezelfde slot hebben? is niet hetzelfde als welkom01

Zou zoiets zijn als huizen met een cijferslot dat allemaal 0000 is ( net zoals veel niet veranderde GSM's)
Dan weet je dat je zelf een andere code moet kiezen, of je vond het fijn dat de buurvrouw regelmatig op bezoek kwam in je nieuwbouwwijk

Verwijderd @shenr • 5 juli 2012 11:59

Je moet beseffen dat het overgrote deel van de mensen nog niet door heeft hoe belangrijk een sterk wachtwoord is, of het besef wel heeft, maar het moeilijk vindt om een sterk wachtwoord te onthouden. Je zou eens moeten weten wat voor wachtwoorden op de werkvloer worden ingesteld. Daar is welkom01 zelfs sterker dan de meesten verwacht ik.

Het gaat hier niet om of het wachtwoord sterk is maar dat iedereen hetzelfde standaardwachtwoord heeft. Als een ondernemer had gekozen voor Welkom02 dan was er bij hem niet zo makkelijk binnen te dringen als bij die andere honderduizend.

Caelestis @shenr • 5 juli 2012 12:44

zo ging het ook bij mijn isp, eerste keer gebruik van modem en je komt op een pagina van isp waar je o.a. je wachtwoord moet wijzigen.

Sorry moest even lachen met dit

Je moest je wachtwoord aanpassen van je modem ja maar dat is de regel die opgelegd wordt door het fabrikant van je modem.(en lang niet alle modems vereisen dit)
Als je kijkt naar inloggevens voor je ISP zal je misschien verbaasd staan dat alle login gegevens van iedereen die bij dezelfde ISP exact hetzelfde is.
ISP's weten het verschil tussen "account" door het lijn waarmee je verbonden bent aangezien elk huis zijn eigen verbinding heeft (adsl) of via het MAC adres van je modem (kabel)
In beide gevallen hoef ik in alleen maar even een gat te graven om bij je kabel te komen en even een splitter er tussen te leggen en ik heb gratis inet op jouw kosten. (werkt niet met glas verbindingen)

Aangezien wij hier in nederland niet zo heel moeilijk doen over een fairuse policy heeft het verder weinig invloed op jouw inet en vandaar dan men geen moeite doet om elke huishouden in nederland te voorzien van login gegevens.

shenr @Caelestis • 6 juli 2012 08:13

Nee niet van je modem. Bij het eerste keer gebruiken van je modem kom je direct op de pagina van de isp terecht waar je o.a. je wachtwoord moet veranderen van je account, maar ook je modem moet activeren. Pas hierna doet je internet het, dus geen internet zonder nieuw wachtwoord van je account.

Nevere @Riqy • 5 juli 2012 10:28

Dus de wereld op zijn kop, je mag bij de bank ook de sleutels op je kluisje laten hangen met andere woorden?
Het is tegenwoordig zo makkelijk de verantwoordelijkheid ergens anders te leggen.

dmystic @Verwijderd • 5 juli 2012 09:59

mjah, ik vind de titel ook nogal suggestief hier. Alsof KPN hier geblunderd heeft, de security mensen van de bedrijven hebben behoorlijk geblunderd, ze moeten gewoon het password aanpassen

Fealine @dmystic • 5 juli 2012 10:06

KPN had ook kunnen zorgen dat een klant na eerste keer inloggen verplicht het wachtwoord moet wijzigen, dan waren er geen problemen geweest.

Dus ipv de verwachting dat je duizende klanten het wel zelf oplossen, hadden ze zelf ook het initiatief kunnen nemen.

[Reactie gewijzigd door Fealine op 27 juli 2024 02:35]

xbeam @Fealine • 5 juli 2012 10:14

Daar heeft KPN voor kpn gedaan want de klant moest namelijk zeker in het verleden 2010.
zelf een login en wachtwoord verzinnen bij het aanvragen.

En daar kiezen veel gebruikers uit gemak welkom01 of hun login als wachtwoord omdat ze dit makkelijke kunnen onthouden. ik vindt dus 100% de schuld van de gebruikers zelf en niet van KPN.

Denk eens na heb jij zelf ooit een brief gehad van kpn met je login als wachtwoord of welkom01 waarom zouden ze dat dan wel bij bedrijven doen.

petervdveen @Fealine • 5 juli 2012 10:38

Ja, dat werkt dan voor de mensen die daadwerkelijk inloggen.
Maar voor de mensen die van deze service nog nooit gebruikt gemaakt hebben?

kimborntobewild @dmystic • 5 juli 2012 10:44

mjah, ik vind de titel ook nogal suggestief hier. Alsof KPN hier geblunderd heeft

Er heeft zich hier ook een blunder voorgedaan. En een grotere blunder dan dat vermeld is. Namelijk het uberhaupt gebruiken van een standaardwachtwoord. Ik vind dat een veel grotere fout dan de gebruiker niet verplichten een eigen wachtwoord te maken. Want als je een random wachtwoord hebt, is die noodzaak sowieso veel minder. Als je dan toch zo onnozel bent een standaard wachtwoord te installeren, dan uiteraard wel verplichten dat men direct het wachtwoord wijzigt. Maar dat blijft dweilen met de kraan open: er zijn zat mensen die helemaal nooit inloggen en waarbij een standaardwachtwoord dus gewoon actief blijft totdat een hacker erop inlogt.

[Reactie gewijzigd door kimborntobewild op 27 juli 2024 02:35]

ZesPak @kimborntobewild • 5 juli 2012 11:25

Akkoord, elke telecom provider waar ik reeds met gewerkt heb geeft een volledig random wachtwoord van meestal 8 karakters.

Dan zou dit probleem helemaal niet bestaan hebben.

bwerg @dmystic • 5 juli 2012 17:08

Ja hoor, want hoe kon KPN nou verwachtten dat niet alle 180.000 klanten, waarvan het grootste deel nitwits op gebied van ICT, hun wachtwoorden zouden veranderen zonder dat dat verplicht is.

Dat terwijl de meesten eigenlijk helemaal nooit inloggen op zo'n account en dus ook totaal vergeten zijn dat ze dat account uberhaupt hebben (ik heb ook wel wat accounts bij bepaalde diensten gekregen die ik nog nooit gebruikt heb).

De titel suggereert gewoon de werkelijkheid. Default-wachtwoorden zijn gewoon niet goed, je hoort te zorgen dat iedereen een (nagenoeg) uniek wachtwoord heeft. Of je dat nou random genereert of je laat de klant zelf iets kiezen bij de eerste keer inloggen (ook niet geweldig).

Als nou 3 van de 180.000 klanten vergeten waren hun wachtwoord te veranderen, dan kun je misschien nog volhouden dat het stom was van die 3 klanten. Maar het feit dat 2/3 dit niet gedaan heeft zegt al genoeg, KPN heeft ze hier niet goed genoeg van op de hoogte gesteld en had van een domme gebruiker uit moeten gaan waarvoor ze dat goed hadden moeten regelen (immers, 2/3 van alle gebruikers blijkt "dom").

[Reactie gewijzigd door bwerg op 27 juli 2024 02:35]

Onbekend @Verwijderd • 5 juli 2012 11:29

Een klant wil gewoon internet hebben, en dat is alles. Vooral kleine bedrijfjes met een paar mensen aan personeel willen niet veel geld nog eens een systeembeheerder inhuren.
Virusscanner? Firewall? Updates? DoS? Backup? AntiSpyware? Wachtwoorden (met viltstift op het toetsenbord)? DMZ? VPN? NAT? Alleen internet en de veiligheid maakt niet uit. Het enige wat een klant wil is dat het internet werkt, en hoe maakt niet uit!

[Reactie gewijzigd door Onbekend op 27 juli 2024 02:35]

Fireb@ll @Onbekend • 5 juli 2012 12:04

Kan wel zo zijn, maar dan moet je ook niet huilen en gewoon betalen als het verkeerd gaat.

Savonds grote vent, sochtends ook een grote vent.

bwerg @Fireb@ll • 5 juli 2012 17:11

En dan moet KPN ook niet huilen als de klanten hier woedend over zijn als er misbruik van gemaakt is, ook al zijn er een paar tweakers van mening dat het de schuld is van de gebruikers.

Verwijderd @Verwijderd • 5 juli 2012 11:34

KPN levert een internetverbinding hoor, niet de dienst je eigen router wachtwoord aanpassen.
KPN is wel degelijk verantwoordelijk; je huurt dat kreng ook nog.
Het is in Nederland ook werkelijk helemaal van de gekken...

Franckey @Verwijderd • 5 juli 2012 23:41

Inderdaad als je zo'n wachtwoord krijgt dan snap je toch zelf ook wel dat dat geen uniek random gegenereerd wachtwoord is?!

xbeam @Anthirian • 5 juli 2012 09:54

Dit is helemaal niet knullig van KPN want dit doen de bedrijven toch echt zelf.

Bij Zakelijk ADSL moet de gebruiker ter plekken bij het bestellen een login en wachtwoord verzinnen veel mensen hebben daar inderdaad geen zin in en bedenken welkom01 of gebruiken hun login naam als wacht woord

Echt pure luiheid van de gebruiker of desinteresse qua beveiliging.

Prima actie dat KPN nu de Verantwoording neemt voor deze gebruikers en selfcare dicht zet.

ewt @xbeam • 5 juli 2012 10:09

Al iemand die vaak accounts moet aanmaken vind ik dat KPN wel degelijk heeft geblunderd. In een goed systeem is het maar een vinkje extra om er voor te zorgen dat het password na eerste keer in te loggen veranderd moet worden. Dan hadden die bedrijven het password waarschijnlijk niet standaard gelaten. Daarnaast is een standaard password als welkom01 een HEEL slecht password, hoe moeilijk is het om er standaard Welk0m2KPN van te maken, of beter nog voor iedere klant een apart password.

Marcks @ewt • 5 juli 2012 10:55

'Welk0m2KPN' is een nog slechter wachtwoord. Dat het moeilijker te raden is, is een tamelijk overbodige luxe als het, zoals hier, een toch al bekend standaardwachtwoord betreft. Als het vreemden toch al niet buiten houdt, prefeer ik een wachtwoord dat de legitieme gebruiker in ieder geval nog kan onthouden en intypen.

NoUseWhatsoever @xbeam • 5 juli 2012 10:10

Mee eens, echter wil je als leverancier een zo goed mogelijke dienst leveren. Dat houdt ook in dat als je het vermoeden hebt dat sommige van je klanten geholpen zijn met een verplichte password change, je daar voor zorgt.

Verwijderd @xbeam • 5 juli 2012 10:16

Inderdaad..

Maar het had KPN gesierd hadden ze gezorgd dat mensen verplicht een moeilijk wachtwoord namen.. Zelfs bij het aanmaken van een mail adres is dit al verplicht bij sommige providers (?).

Fealine @xbeam • 5 juli 2012 10:09

Misschien even het artikel lezen:

KPN gebruikte het standaardwachtwoord 'welkom01', waarmee zakelijke adsl-klanten konden inloggen op het Customer Self Center, maar eiste niet dat klanten dit wachtwoord wijzigden

Hatsjoe @Anthirian • 5 juli 2012 09:49

De gebruikers zijn zelf stom geweest. Ze hadden gewoon het wachtwoord moeten veranderen, wat een kleine moeite is.

Ik neem aan, als jij een wachtwoord krijgt van iets welke 'welkom01' is, dat je deze ook meteen veranderd? Dan misschien niet omdat het een algemeen wachtwoord is, maar dan puur omdat hij veel te makkelijk is.

Gebruikers hebben hier geblunderd, KPN niet. KPN had enkel misschien hun systeem iets moeten aanpassen dat gebruikers of hun wachtwoord de 1e keer inloggen moesten veranderen, of dat ze gewoon een random wachtwoord kregen.

Tevens vind ik het ook niet netjes van die meneer Robert, meld het dan eerst aan KPN, en breng het daarna pas de publiciteit in o.i.d.

Verwijderd @Hatsjoe • 5 juli 2012 10:31

Ik neem aan, als jij een wachtwoord krijgt van iets welke 'welkom01' is, dat je deze ook meteen veranderd?

Ik weet niet of je het artikel gelezen hebt, maar dat is dus een verkeerde aanname.
De allergrootste meerderheid doet dat dus NIET.

Verwijderd 5 juli 2012 09:41

vind t eigenlijk niet eens zozeer een blunder van KPN. jij als eibdgebruiker bent zelf verantwoordelijk voor je wachtwoorden...

PhilipsFan @Verwijderd • 5 juli 2012 09:43

Inderdaad! Dit bewijst dus dat 2/3 van de (zakelijke!) gebruikers sukkels zijn. Klein foutje van KPN, grote fout van de eindgebruiker. Wie gebruikt er nu het standaard wachtwoord?

NicoJuicy @PhilipsFan • 5 juli 2012 10:30

De gebruiker is zo lui mogelijk. Veel it-analfabeten weten waarschijnlijk ook van niet beter.

PhilipsFan @NicoJuicy • 5 juli 2012 10:47

Maar we hebben het hier over zakelijke gebruikers. Daar mag je toch wel wat meer van verwachten, ze hebben immers ook meer te verliezen. Voor een consument is het niet meteen een ramp als iemand meelift op z'n Wifi, maar een zakelijke gebruiker die opeens niet meer kan bellen of internetten loopt inkomsten mis. Daar moet hij dus rekening mee houden.

Daarbij, het geeft mij helemaal geen fijn gevoel. Als ik een bedrijf inhuur verwacht ik dat er zorgvuldig met mijn gegevens wordt omgegaan. Als een ondernemer al niet eens de moeite neemt om een fatsoenlijk wachtwoord te kiezen...

NicoJuicy @PhilipsFan • 5 juli 2012 10:57

Een schrijnwerker kan niet persé goed met een pc werken, net zoals een elektricien en dergelijke.

Dat wij lijden aan beroepsmisvorming door onze uitgebreidere kennis van IT wilt niet zeggen dat een willekeurige ondernemer er iets van kent / hoeft te kennen.

Een ondernemer kan ook 55+ zijn en daarbij zelden een pc gebruiken, lijkt me niet ongewoon. Mijn vader werkt bv. heel de tijd, mijn ma doet de administratie. Als ze een brief krijgt met een gebruikersnaam en wachtwoord van het labo (dierenarts), dan gaat ze het gebruikersnaam en wachtwoord opschrijven en telkens daarmee inloggen.

Ze gebruikt de webapplicatie enkel waarvoor het nodig is, als ze me nodig heeft voor een probleem roept ze mij gewoon. Ook om bv. foto's op de pc te plaatsen en dergelijke.

Waarschijnlijk weet ze niet eens dat ze erop haar wachtwoord kan veranderen, voor ons lijkt dat evident

[Reactie gewijzigd door NicoJuicy op 27 juli 2024 02:35]

PhilipsFan @NicoJuicy • 5 juli 2012 12:09

Je hebt natuurlijk wel gelijk dat niet alle ondernemers verstand hebben van IT. Dat hoeft in principe ook niet. Maar een zeker basisnivo qua kennis hoort er tegenwoordig gewoon bij.

Je stapt ook niet in de auto zonder rijbewijs. Tijdens je rijopleiding leer je gevaarlijke situaties herkennen en oplossen. Zo is het ook met IT. Er bestaat weliswaar geen opleiding voor, maar iedereen die het internet op gaat zou zich tenminste de basisvaardigheden eigen moeten maken.

BlizzarD @Verwijderd • 5 juli 2012 09:50

Dit en niks anders! Dat je als zakelijke gebruiken niet de moeite neemt om het standaard wachtwoord te veranderen, zegt natuurlijk al veel. Je bent dan gewoon ongelofelijk dom bezig

FireFly @Verwijderd • 5 juli 2012 09:55

De service provider (KPN in dit geval) komt dit toch installeren bij de zakelijke klant? Dan is het echt wel de taak van de service provider om dit te wijzigen of op z'n minst te vertellen dat het gewijzigd moet worden.

bazs2000 @Verwijderd • 5 juli 2012 09:45

Vandaag de dag gaat die vlieger niet meer op. Het is bekend hoe lui mensen omspringen met accounts en na vele waarschuwen passen deze mensen het eigen wachtwoordbeleid niet aan. Dan is het aan de bedrijven om dit voor de mensen te doen. Ook dat is een verantwooordelijkheid van een bedrijf.

Het bedrijf moet immers weten dat een zwak wachtwoord een hoog risico met zich meebrengt. Ze moeten ook weten dat dit in combinatie met mensen die niet kunnen omgaan met wachtwoordwijzigingen nog slechter is.

Waarom dan alsnog met "welkom01" op de proppen komen? Het is zo eenvoudig om random passwords te genereren. Ik snap dit niet.

EpicEraser @bazs2000 • 5 juli 2012 09:51

Hier ben ik het helemaal mee eens.

Gebruikers zijn niet zonder meer verantwoordelijk te nemen voor de eigen beveiliging, omdat ze hier ten eerste niks over weten (de meeste mensen zijn niet erg tech-savvy) en ten tweede gewoon geen zin hebben om zich hiermee bezig te houden.

In dit geval moest KPN gewoon de veiligheidseisen van haar gebruikers vastleggen, en de gebruikers forceren om hieraan te voldoen. Zeker dit laatste is duidelijk niet gebeurd.

dmystic @EpicEraser • 5 juli 2012 10:01

als het om gebruikers gaat kan ik het er enigszins mee eens zijn, maar dit zijn bedrijfaccounts, bedrijven zouden gewoon mensen in dienst moeten hebben die verstand van dit soort dingen hebben. Als kpn wel enforced had dat ze hem zouden veranderen zouden precies deze klanten er waarschijnlijk allemaal alsnog iets van welkom ofzo van gemaakt hebben

Fluttershy 5 juli 2012 09:58

Dat is al JAREN het beleid bij de KPN, Overal waar het standaard KPN wachtwoord niet wordt geaccepteerd, zetten ze er "welkom01" neer. De volgende optie is "Welkom01!". Als je het standaard wachtwoord weet, kan je zo in 60% van alle KPN systemen inloggen, waaronder alle verkoopsystemen.

VincentVerhoeff @Fluttershy • 5 juli 2012 10:01

Ik snap niet waarom ze dit doen, Welkom01 en alle vormen daarvan zijn volgens mij een van de meest voorkomende wachtwoorden in Nederland ( en deels Belgie? ).

Ik snap niet hoe dit hun ontgaan is allemaal, vindt het zeer slecht en hopelijk veranderen ze het in iets standaards al bijvoorbeeld "Hyena6940" ofzoiets, dat minder makkelijk te raden is.

Fluttershy @VincentVerhoeff • 5 juli 2012 10:27

Een groot aantal systemen bij de KPN zijn gericht op niet-technische gebruikers in een gedeelde omgeving of een omgeving waarbij men zeer vaak van gebruiker wisselt. (monteurs, verkopers, 'belmiepen', etc)

Deze groepen maar vaak gebruik van een gedeeld account of moeten gebruik kunnen maken van elkaars account bij ziekte of verlof. Hierdoor is er, helaas, een cultuur ingeslopen waarbij overal hetzelfde wachtwoord werd geforceerd...

Stom, maar ja...

marapuru 5 juli 2012 09:43

Hoe kan het toch dat bedrijven hier zo laks mee om blijven gaan. Een password change kun je toch gemakkelijk afdwingen? Als je na een week je password nog niet hebt veranderd in iets anders (uiteraard wel naar bepaalde maatstaven) dan zal je account niet meer werken?

Alleen op die manier kunnen ze blijkbaar de veiligheid blijven garanderen.

Het zou toch bijna tijd worden dat de overheid gaat ingrijpen en richtlijnen op dit gebied gaat aanmaken of aanscherpen...

the_shadow @marapuru • 5 juli 2012 09:57

Het zou toch bijna tijd worden dat de overheid gaat ingrijpen en richtlijnen op dit gebied gaat aanmaken of aanscherpen...

Goed plan, laten we nog meer regels maken en bedrijven dingen verplichten. Als we toch bezig zijn, laten we direct bij wet vast leggen waar wachtwoorden aan moeten voldoen, hoe vaak ze veranderd moeten worden en dat je ze niet mag opschrijven, want dan ben je strafbaar.

Dit zijn dingen die volledig de verantwoordelijkheid zijn van gebruikers, niet van de bedrijven en al helemaal niet van de overheid.

ari3 @the_shadow • 5 juli 2012 11:57

Inderdaad een goed plan, laten we regels maken waar auto's aan moeten voldoen, hoe hard je maximaal mag rijden en welk profiel de banden minimaal moeten hebben.

Net zoals bij verkeersveiligheid geldt dat je niet alleen verantwoordelijk bent voor je eigen veiligheid maar ook voor die van andere verkeersdeelnemers. Iemand met een internetaansluiting is ook niet alleen verantwoordelijk voor zijn eigen verbinding maar moet ook zorgen dat zijn verbinding geen overlast veroorzaakt voor andere internetgebruikers. Daar mag van mij ultiem straf op staan, maar minimaal persoonlijk aansprakelijkheid indien de beveiliging door nalatigheid schade veroorzaakt aan derden.

Niets weten van computer/internet-beveiliging is geen excuus. Ik weet ook niet hoe ik de remmen van mijn auto in goede conditie houdt. Daarom verplicht de wetgever mij middels APK onderhoud uit te besteden. Mensen die zelf hun IT-infrastructuur niet veilig kunnen houden zullen dit werk moeten uitbesteden.

marapuru @the_shadow • 5 juli 2012 12:24

Verantwoordelijkheden van gebruikers. Klopt. Maar hoeveel verantwoordelijkheid kun je leggen bij een gebruiker als deze geen enkel benul heeft van hetgeen dat er speelt?

VincentVerhoeff 5 juli 2012 09:52

Dit is echt een grote fout van de eindgebruiker, maar OOK deels van KPN.

Ze moeten een wachtwoord per bedrijf aanmaken of iets dergelijks, geef niet IEDEREEN hetzelfde beginwachtwoord, hiermee vraag je om problemen.
Ook instellen dat je na het eerste keer inloggen je wachtwoord moet veranderen, en een norm van minimaal 8-10 tekens instellen.

Verwijderd @VincentVerhoeff • 5 juli 2012 11:04

Als ik ergens een bloedhekel aan heb, dan is het wel als een site mij regels oplegt hoe mijn password moet zijn samengesteld.

Bij de ene site is je password max 8 characters.
Bij de ander juist minimaal 8 characters.
Bij de een moet je lower-, upper-case en cijfers gebruiken, maar mag je weer geen andere leestekens gebruiken.
Bij de volgende site moet je juist weer minstens een vreemd lees-teken in je password doen.

Het resultaat: ik kan niet een password verzinnen om op meerdere sites te gebruiken ! Resultaat: ik vergeet altijd welk wachtwoord ik ook al weer had. Heel erg irritant.

Nu weet ik natuurlijk dat je eigenlijk niet het zelfde password vaker moet gebruiken. Maar dat is slechts theorie. Als ik een account op 10 websites/fora heb om een beetje over games te babbelen, dan kunnen die best hetzelfde wachtwoord hebben. Ik heb 3-4 verschillende wachtwoorden, voor verschillende gradaties van hoe belangrijk ik een account vind. Voor mijn ISP, en mijn main email account heb ik een uniek wachtwoord. Voor echt belangrijke zaken, zoals mijn bank, heb ik een authenticator-ding.

Het is mjn beslissing hoe belangrijk ik iets vind. Niet die van de website. Bovendien moeten zij er voor zorgen dat de passwd-file met gehashte passwords niet gestolen wordt. Dat is veel belangrijker.

Een ander side-effect is dat iedereen zijn wachtwoorden gaat opslaan in zijn browser. Dan zitten die wachtwoorden in een file op je harddisk. Nog veel makkelijker voor een hacker om te stelen, dan met een keylogger en manual inspection van de keylog-logfile je wachtwoorden te stelen.

Security is meer dan "laten we het de gebruiker zo lastig mogelijk maken".
Sommige strenge security-maatregelen werken alleen maar averechts.

Noeandee 5 juli 2012 09:57

Hehe, ook wel een signant detail is, dat maar liefst 20.000 gebruikers hun wachtwoord gelijk aan hun gebruikersnaam hebben ingesteld. Dat zou gewoon totaal onmogelijk moeten zijn. Als KPN zijnde heb je ook wel enige verplichting om je diensten beter te beveiligingen tegen gemakszucht van gebruikers. Ik weet zeker, dat ik als bij ons de complexiteitsregels voor domein-wachtwoorden zou uitschakelen, de gebruikers binnen no time wachtwoorden als 1234 of idd hun gebruikersnaam zouden invullen. Maar als organisatie moet je daar toch voor waken?

Gamebuster @Noeandee • 5 juli 2012 10:21

Nee, ik vind dat KPN daar niets aan moet doen.

Mensen die gebruikersnaam en wachtwoord gelijk zetten, leren alleen dat dit niet slim is door negatieve ervaring. Je moet men niet altijd beschermen tegen hun eigen stommiteit, zo leren ze niet.

Verwijderd @Gamebuster • 5 juli 2012 11:07

Of ze vinden het niet erg als juist dit account wordt gecompromiteerd.

Noeandee @Gamebuster • 5 juli 2012 11:44

Ik snap je emotionele reactie wel. Maar als je rationeel gaat kijken wat de risico's zijn, dan moet je als KPN zijnde daar wel actie op ondernemen.

Als er bijvoorbeeld 20.000 accounts worden geschonden, door slecht wachtwoord beheer, dan zal KPN toch actie moeten ondernemen door die accounts weer te herstellen. Dus dat betekent een overspannen klantenservice, de online dienst raakt overspannen, mogelijk moet de dienst zelfs tijdelijk offline gehaald worden, waardoor alle andere gebruikers, die netjes hun wachtwoord wél in orde hadden ook hierdoor worden gedupeerd. Het is niet meer dan goed beleid, om mogelijke stommiteiten zo veel mogelijk uit te sluiten

Pixeltje

5 juli 2012 10:15

KPN heeft dinsdag het Customer Self Center voor Z-adsl onbereikbaar gemaakt, na op de kwetsbaarheden gewezen te zijn, en de wachtwoorden zijn gereset. De provider gaat de desbetreffende 140.000 klanten waarschuwen dat ze hun wachtwoord moeten wijzigen. Donderdagmiddag moet de site weer bereikbaar zijn.

Dus KPN heeft alle standaardwachtwoorden én aangepaste wachtwoorden weer op een nieuwe standaard gezet die binnen no-time bekend wordt natuurlijk), en verkeerd in de illusie dat alle 140.000 klanten donderdag hun wachtwoord gewijzigd hebben?

Met andere woorden; als je het nieuwe standaardwachtwoord weet, kun je vanaf donderdag bij veel klanten weer zo naar binnen lopen

Verwijderd @Pixeltje • 5 juli 2012 10:35

Ik mag hopen dat ze nu wel hebben gekozen voor een ander wachtwoord voor iedere klant.

Snow_King

5 juli 2012 09:41

Wel een beetje jammer dat dhr Schagen direct naar Webwereld stapt zonder dit eerst aan KPN te melden.

Lijkt me eerder op publiciteit scoren dan daadwerkelijk het probleem opgelost willen hebben.

Ja, KPN zat hier fout en had dit moeten voorkomen, maar dat neemt niet weg dat ik het onbeschoft vind om direct naar Webwereld te stappen (Wat sensatie zoekers zijn) in plaats van éérst naar KPN.

Op dit item kan niet meer gereageerd worden.

KPN maakt blunder met standaardwachtwoord Z-adsl-accounts

Lees meer

IT-banen

Reacties (110)

Sorteer op:

Weergave: