KPN moet na hoger beroep alsnog boete betalen voor beveiligingslek in 2012

KPN moet alsnog de boete van 364.000 euro betalen aan de Autoriteit Consument en Markt wegens het tekortschieten in het beveiligen van klantgegevens in 2012. Het bedrijf was in hoger beroep gegaan tegen de opgelegde boete.

KPNIn het begin van 2012 bleek dat een hacker in had weten te breken bij het telecombedrijf. De dader, een jongen uit Barendrecht, had toegang tot klantendata als naw-gegevens, telefoonnummers en bankrekeningnummers. Zelfs tot de core-router van het bedrijf had hij toegang, waardoor hij wellicht het internetverkeer van klanten kon inzien. De jongen, die destijds 17 jaar oud was, kon binnendringen in het systeem omdat automatische updates voor de servers niet met succes wilden installeren. Het zou gegaan zijn om een kwajongensstreek en de hacker zou de 16GB aan data die hij beweerde gedownload te hebben, weer verwijderd hebben.

Hoewel KPN de hack aanvankelijk aan 'ingenieus' bestempelde, erkende het later dat het onderhoud van zijn beveiligingssystemen 'niet steeds optimaal' was, waardoor het de zeventienjarige jongen makkelijk gemaakt werd. Daarna beloofde het bedrijf om sneller te investeren in de beveiligingen van zijn systemen. Desalniettemin was het bedrijf van mening dat de boete voor het achterstallige onderhoud niet evenredig was met de overtreding. Daarin gaat de eindrechter, het College van Beroep voor het bedrijfsleven, dus niet mee. Het college bestempelt de technische en organisatorische tekortkomingen van het bedrijf in deze zaak als 'van basaal niveau'. Verder wordt wel erkend dat de telco in de tijd na de hack adequaat heeft gehandeld. KPN kan niet verder in beroep gaan. De dader kreeg in 2013 overigens een voorwaardelijke celstraf van acht maanden en een werkstraf van 100 uur opgelegd.

Door Mark Hendrikman

Redacteur

Feedback • 16-11-2016 11:42 30

16-11-2016 • 11:42

30

Lees meer

Lek in site parkeerbedrijf bij Schiphol faciliteerde diefstal gegevens en auto's
Lek in site parkeerbedrijf bij Schiphol faciliteerde diefstal gegevens en auto's Nieuws van 15 januari 2017
KPN door ACM beboet vanwege onvoldoende beveiligen klantgegevens
KPN door ACM beboet vanwege onvoldoende beveiligen klantgegevens Nieuws van 2 juni 2015
KPN-hacker krijgt taakstraf en korte celstraf
KPN-hacker krijgt taakstraf en korte celstraf Nieuws van 7 juni 2013
'KPN-hacker zag acties als een kwajongensstreek'
'KPN-hacker zag acties als een kwajongensstreek' Nieuws van 23 februari 2013
Verdachte KPN-hack vrijgelaten maar hij mag niet internetten
Verdachte KPN-hack vrijgelaten maar hij mag niet internetten Nieuws van 2 mei 2012
Verdachte hack KPN bekent schuld
Verdachte hack KPN bekent schuld Nieuws van 27 maart 2012
KPN ontdekt kwetsbaarheden in eigen systemen na hack
KPN ontdekt kwetsbaarheden in eigen systemen na hack Nieuws van 19 maart 2012
KPN: onderhoud gehackte systemen was 'niet optimaal'
KPN: onderhoud gehackte systemen was 'niet optimaal' Nieuws van 13 februari 2012
Hacker had toegang tot privégegevens KPN-klanten - update
Hacker had toegang tot privégegevens KPN-klanten - update Nieuws van 8 februari 2012
Meer producten en artikelen
Politiek en recht KPN Hack Hackers

Reacties (30)

-Moderatie-faq
30
28
13
2
0
0
Wijzig sortering
Sh0t1991 16 november 2016 11:52
Quote uit jullie nieuwsbericht van 9 februari 2012:

In tegenstelling tot wat KPN liet weten, beweert de hacker dat de groep ook data heeft weten te downloaden. Het zou gaan om 16GB aan informatie. De aanvallers zouden de data echter hebben vernietigd omdat zij naar eigen zeggen alleen kwetsbaarheden bij het bedrijf wilden aantonen.
bazs2000 @Sh0t199116 november 2016 17:34
Dat niet alleen, er kwam nog iets uit voort:

https://www.security.nl/p...PN-klantgegevens+*update*

Op dat moment werkte ik nog voor KPN en de paniek was groot kan ik je vertellen. Naast het off-line halen van de mail-omgeving werden er ook grote ladingen met email-wachtwoorden gereset. Dat heeft de callcenters veel werk opgeleverd.

Daarnaast stond de spreekwoordelijke telefoon ook nog eens roodgloeiend met vragen van mensen of zij "getroffen" konden zijn door deze hack. De maatschappelijke onrust was heel groot. Ik ben persoonlijk voor ethisch hacken en kan er diepe bewondering voor hebben. Deze bewondering slaat echter om in onbegrip op het moment dat de "hackers" onverantwoord handelen met de gegevens of niet open/helder zijn in de communicatie.

Die hele hack betrof een domino-effect. KPN liep achter met de updates, hackers kwamen binnen en haalden bakken met data binnen en vervolgens worden er gegevens op pastebin gezet die groots werd opgepakt door de media.

KPN had het 100% beter kunnen doen in deze alleen de manier waarop het allemaal is gegaan heeft meerdere tonnen gekost, meer dan nodig had geweest wanneer diverse mensen zich wel aan enige ethiek hadden gehouden.

Ik neem het slechts ten dele op voor KPN in deze, de boete die zij moeten betalen is volledig terecht. Het was ook prutswerk en het was achteraf dat men eens kritisch ging kijken naar diverse servers en de beveiliging.
AuteurMark_88 @Sh0t199116 november 2016 13:12
The devil is in the details. Fixed!
herbalx 16 november 2016 11:59
Heeft iemand een idee waarom in dit geval de Autoriteit Consument en Markt de boete oplegd en dat dat er geen woord gerept wordt over de Autoriteit Persoonsgegevens (voormalig College Bescherming Persoonsgegevens)
Sh0t1991 @herbalx16 november 2016 12:02
Omdat KPN een openbaar elektronisch communicatienetwerk aanbiedt is de Telecommunicatiewet van toepassing en heeft de ACM (destijds als los onderdeel: OPTA) een bevoegdheid. Het College Bescherming Persoonsgegevens had destijds ook geen boetebevoegdheid zoals we die nu kennen.

de OPTA constateerde destijds dat KPN artt. 11.2 jo. 11.3 Tw geschonden had. Het equivalent van artikel 13 Wbp (beveiliging).

Bovendien is het equivalent van de Meldplicht Datalekken (zoals de Wbp die sinds 1 januari 2016 kent) pas in juni 2012 gaan gelden, waardoor KPN destijds ruim 7 dagen gewacht heeft met het melden van de hack / lek.

[Reactie gewijzigd door Sh0t1991 op 25 juli 2024 03:12]

six-shooter 16 november 2016 11:49
"Het zou gegaan zijn om een kwajongensstreek en de hacker heeft geen gegevens gestolen of anderszins schade aangericht."

en

"De dader kreeg in 2013 overigens een voorwaardelijke celstraf van acht maanden en een werkstraf van 100 uur opgelegd."

Maar waarom, die jongen heeft dan toch niks misdaan, behalve de wereld op de hoogte te stellen van een beveiligingslek.
i-chat @six-shooter16 november 2016 11:55
die jongen heeft ingebroken bij een telco (de grootste van ons land)... ik weet niet of hij kpn netjes op de hoogte heeft gebracht, en/of welke data hij heeft ingezien, maar kwajongensstreek... ik weet niet precies wat er mee bedoeld word... bovendien vinden wij alles met computers ENG en dus strafbaar ...
BasV. @six-shooter16 november 2016 11:54
Hoe zou jij het vinden als iemand inbreekt in je huis? Zou je dan hetzelfde reageren of zou je willen dat hij vervolgd wordt?
SomerenV @BasV.16 november 2016 11:56
Als iemand een zwakke plek vindt in mijn huis waardoor hij gemakkelijk binnen kan komen, hij test die methode en stelt mij vervolgens daarvan op de hoogte dan zal ik die persoon niet vervolgen nee. Sterker nog, dan beloon ik hem want door hem is mijn huis een stuk veiliger. Het is natuurlijk een wat ander verhaal als je je methode test en rond gaat snuffelen, maar in de basis zou ik niet tot vervolging over gaan nee.
Mister E @SomerenV16 november 2016 12:06
natuurlijk achteraf een makkelijk excuus voor als je betrapt bent "ik was gewoon uw veiligheid aan het controleren".

als dit nou vooraf zou worden gevraagd, "zou ik uw veiligheid mogen testen" komt heel anders over.

als iemand in mijn huis inbreekt en zegt dat hij alleen maar mijn veiligheid aan het testen was zou ik ook aangifte doen.

edit: zinsopbouw verbeterd

[Reactie gewijzigd door Mister E op 25 juli 2024 03:12]

xelnaha @Mister E16 november 2016 12:35
Hier is gewoon beleid voor, zie ook tweakers beleid: responsible disclosure

https://en.wikipedia.org/wiki/Responsible_disclosure

het is niet ongewoon om mensen niet te vervolgen als men "juist handeld". Uiteraard heeft dit persoon dit niet gedaan door geen melding te maken.
Zer0 @SomerenV16 november 2016 12:04
Maar in dit geval heeft de "hacker" helemaal niks gemeld.
Hoe zou je het vinden als iemand al een aantal keer in je huis geweest is en je nooit op de hoogte heeft gesteld?
labtech @SomerenV16 november 2016 12:08
Sorry, maar jij bent niet degene die beslist of er wel of niet tot vervolging wordt overgegaan. Dat is het OM. Ook vervolging zonder jouw aangifte is mogelijk.
F-I-X @SomerenV16 november 2016 12:24
Als je keukenraampje open hebt laten staan zal je het ook niet leuk vinden dat iemand erdoorheen en je huis binnengaat om het aan te tonen.
Armin @SomerenV16 november 2016 19:56
Als iemand een zwakke plek vindt in mijn huis waardoor hij gemakkelijk binnen kan komen, hij test die methode en stelt mij vervolgens daarvan op de hoogte dan zal ik die persoon niet vervolgen nee.

Een betere analogie is dit: Iemand komt bij jouw huis en ontdekt dat je de batterij van je alarmsysteem niet vervangen hebt. Dus kan hij de deur openbreken zonder dat het alarm opengaat. Vervolgens neemt hij in jouw huis wat foto's van persoonlijke zaken. Dit alles zonder jouw toestemming of medeweten.

Zou jij werkelijk geen aangifte van inbraak doen?

KPN was nalatig (batterij vergeten) maar zomaar even wat downloaden (niet enkel kijken!) is ook niet kies.
six-shooter @BasV.16 november 2016 12:05
Wat SomerenV zegt ^^
GoT.Typhoon @BasV.16 november 2016 12:12
Als hij mij belt dat ik de deur wagenwijd open heb laten staan, even naar binnen gaat een lepeltje pakt en die vervolgens vernietigd en een exact replica terug legt dan zal ik m niet aangeven nee. Hij heeft immers toch geen schade gedaan, enkel meer schade voorkomen. Hij had het ook niet kunnen melden met alle gevolgen van dien.
Zyppora @BasV.16 november 2016 14:36
Als iemand ziet dat ik de deur uit ga en mij zegt dat mijn raam nog open staat, ga ik geen aangifte doen inderdaad, maar dank ik hem/haar en loop nog even naar binen om het raam dicht te doen.

Kromme digitaal-analoog vergelijkingen kunnen we allemaal maken. Vergis je ook niet in het feit dat in veel gevallen de gegevens van klanten (zoals jij en ik) gewoon open en bloot voor het raam liggen en van buitenaf zichtbaar zijn. Dan kun je wel aangifte doen tegen iedereen die toevallig naar binnen kijkt, maar misschien toch maar eens de gordijnen dichttrekken?
svenslootweg @BasV.16 november 2016 15:22
Dat is een gevaarlijk uitgangspunt, zo kom je alleen maar op wraak uit.

Het moet gaan om het belang van de maatschappij en het beperken van schade, niet om de wensen van het slachtoffer m.b.t. de opgelegde straf.
F-I-X @six-shooter16 november 2016 12:18
Je mag blij zijn dat je in Nederland woont en je deze straf krijgt..

De jongen heeft dus wel wat gedaan "hij heeft zich ongevraagd, illegaal toegang verschaft tot computersystemen" , of welke juridische term je er ook aan verbind,

Gezien de "hack" was er ook helemaal geen noodzaak tot het eigenlijke inbreken en was er ook geen "proof of concept" nodig.
Mitsuko 16 november 2016 12:23
Wel weer een boete van niks trouwens. Zou me niet verbazen als het hoger beroep zelf al meer geld kostte dan deze boete.
Cowamundo @Mitsuko16 november 2016 13:32
True, en waar gaat het geld naartoe?
Niet naar de gedupeerde mensen gok ik zomaar of konden die zelf ook een schadevergoeding vragen?

Anders zijn het dus jouw gegevens die op straat liggen maar een Autoriteit verdiend er geld aan. 8)7
lordMocro @Cowamundo16 november 2016 15:54
Het ACM is een publieke instantie, een bestuursorgaan. Zonder al te diep op in te gaan op alle begrotingen van bestuursorganen wordt het toegevoegd aan de Nederlandse schatkist, mocht de overheid besluiten om gedupeerden tegemoet te komen dan zal het ten kosten gaan van belastinggeld.

[Reactie gewijzigd door lordMocro op 25 juli 2024 03:12]

Azziax 16 november 2016 11:48
Inmiddels is de beveiliging wel beter gok ik. Het team van etische hackers van KPN zelf stonden in de finale van de Cyberlympics in Washington.

http://corporate.kpn.com/...lympics-in-washington.htm
svennd @Azziax16 november 2016 12:09
De vraag is of die hackers toen al niet in dienst waren... het is niet dat updates geblokkeerd werden, maar door een fout/probleem niet uitgevoerd waren ... Je kunt wel boetes geven maar wat is "veilig genoeg" ?
Caelestis @Azziax16 november 2016 12:46
Nou ken ik de kwaliteiten van dat team niet en mogelijk zit er echte talent bij maar om nou een of ander gesponsorde en gepland cyberlympics als maatstaf van kundigheid gebruiken gaat wel heel erg ver. Misschien leuk voor de aandeelhouders?
Een defcon of darpa challenge winnen zegt zoveel meer onder de professionals.
makra 16 november 2016 12:22
Vind ik helemaal terecht. Moet je je eens voorstellen wat hackers met onze gegevens kunnen alleen omdat KPN hun dingen niet goed beveiligd...
Xipe 16 november 2016 13:35
Ben ook wel benieuwd of dit geld naar de zgn gedupeerde gaat ipv de zakken van deze instanties onder het mom we zijn er voor u...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq