Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties

KPN moet alsnog de boete van 364.000 euro betalen aan de Autoriteit Consument en Markt wegens het tekortschieten in het beveiligen van klantgegevens in 2012. Het bedrijf was in hoger beroep gegaan tegen de opgelegde boete.

KPNIn het begin van 2012 bleek dat een hacker in had weten te breken bij het telecombedrijf. De dader, een jongen uit Barendrecht, had toegang tot klantendata als naw-gegevens, telefoonnummers en bankrekeningnummers. Zelfs tot de core-router van het bedrijf had hij toegang, waardoor hij wellicht het internetverkeer van klanten kon inzien. De jongen, die destijds 17 jaar oud was, kon binnendringen in het systeem omdat automatische updates voor de servers niet met succes wilden installeren. Het zou gegaan zijn om een kwajongensstreek en de hacker zou de 16GB aan data die hij beweerde gedownload te hebben, weer verwijderd hebben.

Hoewel KPN de hack aanvankelijk aan 'ingenieus' bestempelde, erkende het later dat het onderhoud van zijn beveiligingssystemen 'niet steeds optimaal' was, waardoor het de zeventienjarige jongen makkelijk gemaakt werd. Daarna beloofde het bedrijf om sneller te investeren in de beveiligingen van zijn systemen. Desalniettemin was het bedrijf van mening dat de boete voor het achterstallige onderhoud niet evenredig was met de overtreding. Daarin gaat de eindrechter, het College van Beroep voor het bedrijfsleven, dus niet mee. Het college bestempelt de technische en organisatorische tekortkomingen van het bedrijf in deze zaak als 'van basaal niveau'. Verder wordt wel erkend dat de telco in de tijd na de hack adequaat heeft gehandeld. KPN kan niet verder in beroep gaan. De dader kreeg in 2013 overigens een voorwaardelijke celstraf van acht maanden en een werkstraf van 100 uur opgelegd.

Moderatie-faq Wijzig weergave

Reacties (30)

Quote uit jullie nieuwsbericht van 9 februari 2012:

In tegenstelling tot wat KPN liet weten, beweert de hacker dat de groep ook data heeft weten te downloaden. Het zou gaan om 16GB aan informatie. De aanvallers zouden de data echter hebben vernietigd omdat zij naar eigen zeggen alleen kwetsbaarheden bij het bedrijf wilden aantonen.
Dat niet alleen, er kwam nog iets uit voort:

https://www.security.nl/p...KPN-klantgegevens+*update*

Op dat moment werkte ik nog voor KPN en de paniek was groot kan ik je vertellen. Naast het off-line halen van de mail-omgeving werden er ook grote ladingen met email-wachtwoorden gereset. Dat heeft de callcenters veel werk opgeleverd.

Daarnaast stond de spreekwoordelijke telefoon ook nog eens roodgloeiend met vragen van mensen of zij "getroffen" konden zijn door deze hack. De maatschappelijke onrust was heel groot. Ik ben persoonlijk voor ethisch hacken en kan er diepe bewondering voor hebben. Deze bewondering slaat echter om in onbegrip op het moment dat de "hackers" onverantwoord handelen met de gegevens of niet open/helder zijn in de communicatie.

Die hele hack betrof een domino-effect. KPN liep achter met de updates, hackers kwamen binnen en haalden bakken met data binnen en vervolgens worden er gegevens op pastebin gezet die groots werd opgepakt door de media.

KPN had het 100% beter kunnen doen in deze alleen de manier waarop het allemaal is gegaan heeft meerdere tonnen gekost, meer dan nodig had geweest wanneer diverse mensen zich wel aan enige ethiek hadden gehouden.

Ik neem het slechts ten dele op voor KPN in deze, de boete die zij moeten betalen is volledig terecht. Het was ook prutswerk en het was achteraf dat men eens kritisch ging kijken naar diverse servers en de beveiliging.
The devil is in the details. Fixed!
Heeft iemand een idee waarom in dit geval de Autoriteit Consument en Markt de boete oplegd en dat dat er geen woord gerept wordt over de Autoriteit Persoonsgegevens (voormalig College Bescherming Persoonsgegevens)
Omdat KPN een openbaar elektronisch communicatienetwerk aanbiedt is de Telecommunicatiewet van toepassing en heeft de ACM (destijds als los onderdeel: OPTA) een bevoegdheid. Het College Bescherming Persoonsgegevens had destijds ook geen boetebevoegdheid zoals we die nu kennen.

de OPTA constateerde destijds dat KPN artt. 11.2 jo. 11.3 Tw geschonden had. Het equivalent van artikel 13 Wbp (beveiliging).

Bovendien is het equivalent van de Meldplicht Datalekken (zoals de Wbp die sinds 1 januari 2016 kent) pas in juni 2012 gaan gelden, waardoor KPN destijds ruim 7 dagen gewacht heeft met het melden van de hack / lek.

[Reactie gewijzigd door Sh0t1991 op 16 november 2016 12:07]

"Het zou gegaan zijn om een kwajongensstreek en de hacker heeft geen gegevens gestolen of anderszins schade aangericht."

en

"De dader kreeg in 2013 overigens een voorwaardelijke celstraf van acht maanden en een werkstraf van 100 uur opgelegd."

Maar waarom, die jongen heeft dan toch niks misdaan, behalve de wereld op de hoogte te stellen van een beveiligingslek.
die jongen heeft ingebroken bij een telco (de grootste van ons land)... ik weet niet of hij kpn netjes op de hoogte heeft gebracht, en/of welke data hij heeft ingezien, maar kwajongensstreek... ik weet niet precies wat er mee bedoeld word... bovendien vinden wij alles met computers ENG en dus strafbaar ...
Hoe zou jij het vinden als iemand inbreekt in je huis? Zou je dan hetzelfde reageren of zou je willen dat hij vervolgd wordt?
Als iemand een zwakke plek vindt in mijn huis waardoor hij gemakkelijk binnen kan komen, hij test die methode en stelt mij vervolgens daarvan op de hoogte dan zal ik die persoon niet vervolgen nee. Sterker nog, dan beloon ik hem want door hem is mijn huis een stuk veiliger. Het is natuurlijk een wat ander verhaal als je je methode test en rond gaat snuffelen, maar in de basis zou ik niet tot vervolging over gaan nee.
natuurlijk achteraf een makkelijk excuus voor als je betrapt bent "ik was gewoon uw veiligheid aan het controleren".

als dit nou vooraf zou worden gevraagd, "zou ik uw veiligheid mogen testen" komt heel anders over.

als iemand in mijn huis inbreekt en zegt dat hij alleen maar mijn veiligheid aan het testen was zou ik ook aangifte doen.

edit: zinsopbouw verbeterd

[Reactie gewijzigd door Mister E op 16 november 2016 12:08]

Hier is gewoon beleid voor, zie ook tweakers beleid: responsible disclosure

https://en.wikipedia.org/wiki/Responsible_disclosure

het is niet ongewoon om mensen niet te vervolgen als men "juist handeld". Uiteraard heeft dit persoon dit niet gedaan door geen melding te maken.
Maar in dit geval heeft de "hacker" helemaal niks gemeld.
Hoe zou je het vinden als iemand al een aantal keer in je huis geweest is en je nooit op de hoogte heeft gesteld?
Sorry, maar jij bent niet degene die beslist of er wel of niet tot vervolging wordt overgegaan. Dat is het OM. Ook vervolging zonder jouw aangifte is mogelijk.
Als je keukenraampje open hebt laten staan zal je het ook niet leuk vinden dat iemand erdoorheen en je huis binnengaat om het aan te tonen.
Als iemand een zwakke plek vindt in mijn huis waardoor hij gemakkelijk binnen kan komen, hij test die methode en stelt mij vervolgens daarvan op de hoogte dan zal ik die persoon niet vervolgen nee.

Een betere analogie is dit: Iemand komt bij jouw huis en ontdekt dat je de batterij van je alarmsysteem niet vervangen hebt. Dus kan hij de deur openbreken zonder dat het alarm opengaat. Vervolgens neemt hij in jouw huis wat foto's van persoonlijke zaken. Dit alles zonder jouw toestemming of medeweten.

Zou jij werkelijk geen aangifte van inbraak doen?

KPN was nalatig (batterij vergeten) maar zomaar even wat downloaden (niet enkel kijken!) is ook niet kies.
Wat SomerenV zegt ^^
Als hij mij belt dat ik de deur wagenwijd open heb laten staan, even naar binnen gaat een lepeltje pakt en die vervolgens vernietigd en een exact replica terug legt dan zal ik m niet aangeven nee. Hij heeft immers toch geen schade gedaan, enkel meer schade voorkomen. Hij had het ook niet kunnen melden met alle gevolgen van dien.
Als iemand ziet dat ik de deur uit ga en mij zegt dat mijn raam nog open staat, ga ik geen aangifte doen inderdaad, maar dank ik hem/haar en loop nog even naar binen om het raam dicht te doen.

Kromme digitaal-analoog vergelijkingen kunnen we allemaal maken. Vergis je ook niet in het feit dat in veel gevallen de gegevens van klanten (zoals jij en ik) gewoon open en bloot voor het raam liggen en van buitenaf zichtbaar zijn. Dan kun je wel aangifte doen tegen iedereen die toevallig naar binnen kijkt, maar misschien toch maar eens de gordijnen dichttrekken?
Dat is een gevaarlijk uitgangspunt, zo kom je alleen maar op wraak uit.

Het moet gaan om het belang van de maatschappij en het beperken van schade, niet om de wensen van het slachtoffer m.b.t. de opgelegde straf.
Je mag blij zijn dat je in Nederland woont en je deze straf krijgt..

De jongen heeft dus wel wat gedaan "hij heeft zich ongevraagd, illegaal toegang verschaft tot computersystemen" , of welke juridische term je er ook aan verbind,

Gezien de "hack" was er ook helemaal geen noodzaak tot het eigenlijke inbreken en was er ook geen "proof of concept" nodig.
Wel weer een boete van niks trouwens. Zou me niet verbazen als het hoger beroep zelf al meer geld kostte dan deze boete.
True, en waar gaat het geld naartoe?
Niet naar de gedupeerde mensen gok ik zomaar of konden die zelf ook een schadevergoeding vragen?

Anders zijn het dus jouw gegevens die op straat liggen maar een Autoriteit verdiend er geld aan. 8)7
Het ACM is een publieke instantie, een bestuursorgaan. Zonder al te diep op in te gaan op alle begrotingen van bestuursorganen wordt het toegevoegd aan de Nederlandse schatkist, mocht de overheid besluiten om gedupeerden tegemoet te komen dan zal het ten kosten gaan van belastinggeld.

[Reactie gewijzigd door lordMocro op 16 november 2016 15:56]

Inmiddels is de beveiliging wel beter gok ik. Het team van etische hackers van KPN zelf stonden in de finale van de Cyberlympics in Washington.

http://corporate.kpn.com/...lympics-in-washington.htm
De vraag is of die hackers toen al niet in dienst waren... het is niet dat updates geblokkeerd werden, maar door een fout/probleem niet uitgevoerd waren ... Je kunt wel boetes geven maar wat is "veilig genoeg" ?
Nou ken ik de kwaliteiten van dat team niet en mogelijk zit er echte talent bij maar om nou een of ander gesponsorde en gepland cyberlympics als maatstaf van kundigheid gebruiken gaat wel heel erg ver. Misschien leuk voor de aandeelhouders?
Een defcon of darpa challenge winnen zegt zoveel meer onder de professionals.
Vind ik helemaal terecht. Moet je je eens voorstellen wat hackers met onze gegevens kunnen alleen omdat KPN hun dingen niet goed beveiligd...
Ben ook wel benieuwd of dit geld naar de zgn gedupeerde gaat ipv de zakken van deze instanties onder het mom we zijn er voor u...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True