Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politie houdt twee verdachten aan voor chanteren KPN

De politie heeft in de afgelopen week twee Slowaakse mannen aangehouden die ervan verdacht worden KPN gechanteerd te hebben. De mannen claimden bedrijfsgevoelige gegevens van KPN in handen te hebben.

De aanhouding van een 25-jarige man vond in Rotterdam plaats terwijl een 32-jarige man in het Slowaakse Dolny Kubin aangehouden werd. De politie kwam de twee op het spoor na onderzoek van het Team High Tech Crime. Dat team kwam in actie na aangifte van KPN waarbij het bedrijf liet weten te maken te hebben met een poging tot afdreigen: chantage door te dreigen met in dit geval het openbaren van geheimen.

Onbekenden namen contact op met KPN met de claim dat ze bedrijfsgevoelige informatie over het bedrijf hadden. In ruil voor bitcoins zouden de criminelen de gegevens willen overhandigen. Volgens de politie eisten ze 'een groot geldbedrag' in bitcoins. Uit het onderzoek zou nog geen bewijs naar voren zijn gekomen dat criminelen systemen van KPN daadwerkelijk binnengedrongen zijn om bedrijfsgeheimen te stelen.

Bij de aanhouding van de twee zijn mobiele telefoons en laptops in beslag genomen. De in Nederland opgepakte verdachte is voorgeleid aan de rechter-commissaris. Voor de in Slowakije opgepakte man is een uitleveringsverzoek uitgevaardigd.

Door Olaf van Miltenburg

Nieuwscoördinator

23-02-2018 • 15:39

70 Linkedin Google+

Submitter: Melantrix

Reacties (70)

Wijzig sortering
Hopelijk waren ze gewoon aan het bluffen voordat je weer een datalek hebt.

Ook dat het onderzoek sinds half januari gestart is hebben ze redelijk snel al de 2 verdachten.
Het is een beetje een raar verhaal.
Je benaderd een bedrijf zegt informatie te hebben en wil geld zien.
Normaal zou je toch denken dat als je wil afpersen je toch tipje laat zien welke informatie je hebt. Hoe kun je anders als bedrijf een afperser serieus nemen zonder te weten dat ze ook echt iets hebben.

De vraag is dus hebben ze echt iets. Als je niets hebt lijkt me poging tot afpersing snel te mislukken. Heb je wel iets is de kans groter. Maar wie weet komen we dat nooit te weten en houden ze alles geheim.
Inderdaad redelijk vreemd ja. Artikel is wellicht beetje vreemd geschreven. KPN heeft die data zelf ook, mogelijk is het gelekt, maar dan hebben ze het zelf nog steeds als het goed is. Waarom ze zouden betalen om die informatie te zien ontgaat me dan ook.

Waar ze mogelijk wel voor zouden willen betalen is het voorkomen van het uitlekken van de data. Maar dan lever je toch eerst bewijs lijkt me.
Het hoeft helemaal niet om klantengegevens of wachtwoorden te gaan.
"Bedrijfsgevoelige informatie" kan ook gaan over informatie die invloed heeft op de aandelenkoers. Misschien heeft KPN wel vergevorderde plannen om een concurrent over te nemen o.i.d.
Idd.
Persoonlijk werk ik ook indirect voor KPN mbt. het uitbreiden van hun netwerk, hierdoor heb ik ook toegang tot bedrijfsgevoelige info. Voor de consument oid. is het niet heel interessant maar voor een concurent als Ziggo zou dit zeker wel een (hoge) waarde hebben.
Waarom zou het niet kunnen, dat ze gewoon bluften, in de hoop dat KPN er in zou trappen? Niet erg kansrijk, OK, maar blijkbaar waren het ook niet zulke briljante afpersers, aangezien ze gepakt zijn.
Waarschijnlijk Oost Europeesche hackers in opdracht van Rusland en/of Noord Korea. }>
Eigenlijk is dat ook geen valide argument (meer). Vroeger kon dat nog zodat je het onder de pet kon houden, maar met de AVG moet je het nu alsnog melden. De negatieve publiciteit heb je dus ook als je niet betaald maar wel weet dat je data op straat ligt.

Wel betalen zet de deur open voor een aanvullende claim. 'dank voor je 100 bitcoin, nu willen we nog 500'.
Maar wie weet komen we dat nooit te weten en houden ze alles geheim.
Er is toch zoiets als meldingsplicht? Grote kans dat áls ze data hebben dat er ook gegevens tussen zitten van klanten, en dat moet dus gemeld worden.
[...]Er is toch zoiets als meldingsplicht?
dan moet je eerst weten wat het lek is en welke data het betreft. Een groot bedrijf maakt altijd afspraken met medewerkers, leveranciers, heeft een groot platform te beheren. Er hoeft maar ergens iets te gebeuren of iemand iets te doen... Des te groter het bedrijf, des te groter de kans ..
Omgekeerd, misschien hebben ze wel de telefoongids cd uit de jaren 80 gekraakt ...?! Je weet het niet ..
Ik vindt het wel amateuristisch allemaal weer. Zo snel gepakt enz. Dit is echt aandacht zoeken ..
Er is inderdaad een meldingsplicht, maar voor je iets gaat melden moet je weer een vrij grote zekerheid hebben dat jij het lek bent. Het heeft geen nut om bij elke claim van een breach te gaan melden dat je een data lek hebt en je gebruikers een hartaanval te bezorgen met alle bijhorende imago schade.
Als je niets hebt lijkt me poging tot afpersing snel te mislukken.
Ook in dat geval ben je nog steeds strafbaar natuurlijk...
Vraag is dan bij het niets hebben of het oplichting blijft of misleiding wordt. Het verandert niets aan de feiten, wel aan bewijslast, strafmaat en rechterlijk proces ...
Vraag is dan bij het niets hebben of het oplichting blijft of misleiding wordt.
De juridische term voor dit delict is afdreiging.

Zie:
Artikel 318 Wetboek van Strafrecht
1 Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
De politie heeft het over "verdenking van digitale afdreiging", maar voorzover ik kan nagaan heeft de KPN niet betaald en zou er dus eerder sprake zijn van poging tot afdreiging. Het maakt voor de vraag welk delict het is geen verschil of de verdachte wel of niet beschikking had over de geheime gegevens die hij openbaar dreigde te maken.

Als je helemaal geen gegevens hebt die je op internet kunt zetten, is het de vraag of je gebruik maakt van een "absoluut ondeugdelijk middel". Een voorbeeld daarvan zou zijn iemand proberen te vergiftigen met suiker. Suiker is helemaal niet giftig, dus zelfs als je heel graag iemand ermee wilde vergiftigen is het een absoluut ondeugdelijk middel.

Helemaal geen gegevens lijkt me inderdaad een absoluut ondeugdelijk middel. Als je geen enkel bewijs levert dat je de dreiging ook uit kunt voeren, zullen de meeste bedrijven je al snel niet meer serieus nemen. Als je een klein beetje bewijs hebt (stel: enkele honderden rijen uit een klantendatabase met honderduizenden records) zou dat denk ik genoeg zijn om mee te dreigen en daarmee een deugdelijk middel.
De politie heeft hun woningen doorzocht en verschillende digitale gegevensdragers zoals mobiele telefoons en laptops in beslag genomen om verder onderzoek te kunnen doen. Op dit moment van het onderzoek zijn er geen aanwijzingen dat daadwerkelijk de beveiliging is doorbroken.
Ze zullen vast wel met _iets_ zijn gekomen zodat ze serieus werden genomen. Dit soort maatregelen ga je niet nemen als het om een willekeurige grappenmaker kan gaan. Het zou natuurlijk ook kunnen dat de KPN beveiliging niet is doorbroken, maar dat de gegevens bij een derde partij zijn buitgemaakt.

[Reactie gewijzigd door doeternietoe op 24 februari 2018 14:18]

Het doet me denken aan deze artikelen over onterechte ideen over data en KPN.
De gegevens die hackers vrijdag online zetten, komen waarschijnlijk niet uit een gehackte server van KPN, maar zijn mogelijk in 2010 bij Baby-dump.nl gestolen.
Ook BabyDump zou tussen de bedrijven zitten waarvan de database gestolen is. Dat bedrijf had eerder dit jaar te maken met een datalek, waarbij onterecht gedacht werd dat de klantgegevens van een hack bij KPN-systemen afkomstig waren.
De stelling dat er geen aanwijzingen zijn dat daadwerkelijk de beveiliging is doorbroken zegt dus waarschijnlijk niets over het wel of niet onterecht beschikken over gegevens die voor afpersen gebruikt kunnen worden met een claim dat ze bedrijfsgevoelige gegevens van KPN in handen te hebben.

[Reactie gewijzigd door kodak op 24 februari 2018 00:49]

Wellicht zijn dit criminelen met nog een beetje moraal, en hebben ze een tipje laten zien, maar alleen naar KPN:

“Jongens, we hebben gevoeligheid bedrijfsinformatie. Graag x bedrag in Bitcoin overmaken anders maken we het openbaar. Hieronder een snippet van de informatie. We zullen de pers niet opzoeken, want dat zorgt alleen maar voor extra belangstelling.”
Omdat het niet de meest snuggere tweevoeters zijn.

Verder is toegang gewoon geld waar en dus ga je daarmee niet "tekoop" meelopen.
En zo kan het dus ook. Als je toevallig een paar straten doorheen rijdt en dan kan je zo de klanten van b.v. Ziggo of welke provider dan ook zien door het draadloze netwerksignaal (dat is nou dus een heel zwak punt van de provider, de apparatuur/service van de provider zelf is al eigenlijk dus een heel zwak punt), dan heb je al een behoorlijke database te pakken. Bij een flat kan je ook nog de naambordjes lezen dan bouw je al snel gegevens op.
Die wifi naam en mac database, incl gps lokatie koop je toch gewoon bij google ? Zelf rondrijden is zo milieuvervuilend en jaren 50 ....
Ach ja zo gemakkelijk wilde ik het ook niet gaan maken maar met een beetje creativiteit kom je dus al heel ver. Het geeft dus wel aan hoe verouderd de apparatuur is, hoe makkelijk het is, wat je allemaal kan eruit halen met weinig moeite en hoe makkelijk je dus uiteindelijk aan heel veel gegevens komen wat dus eigenlijk simpelweg op straat ligt.
Je kan ook gewoon aan Siri vragen
Ah, jij gaat overal met de fiets naar toe, en koopt verder geen comsumptie artikelen maar leeft van t land?
Binnen een straal van 2 km heb ik hier 8 albert heijns, een hoogvliet, een spar, 3 pizzeria's, 4 friettenten, 2 visboeren, 2 ijsjes zaken, een kringloopwinkel, 2 huisartspraktijken, 4 tandartsen, 3 chinese restaurants, een mexicaans restaurant, tig andere restaurants en middenstanders, een groot bos,etc etc Dus ja, het slimst is te voet of met de fiets te gaan, een auto kun je hier soms moeilijk parkeren... Ik koop consumptie artikelen en allemaal eten we van het land of uit de kas.

[Reactie gewijzigd door tweazer op 25 februari 2018 11:27]

Bij een flat kan je ook nog de naambordjes lezen dan bouw je al snel gegevens op.
En bij een flat heb je ook kans dat je meer SSID's dan naamplaatjes ziet, succes met het koppelen van namen aan de standaard SSID's...
speedtouchkey.exe :+
Sorry, moest er meteen aan denken. :P
Snap echt je gehele reactie niet..
Wat is er precies zwak..of ik nu mijn wifi aanzet van mijn provider geleverde modem of van mijn eigen aangekochte router kan jij daar nog niks mee hoor. Zou niet weten achter welke gegevens jij wilt komen met je ritje door de straten.
"eisten ze 'een groot geldbedrag' in bitcoin." Dat is een fluctuerende eis !! :/
Gewoon “5 million euro in bitcoin”, weet je zeker dat je goed zit. :+
De volgende dag kan het alleen een stuk meer of minder waard zijn :*)
Zelfs al verlies je een kwart aan waardedaling en transactiekosten heb je nog altijd een mooi bedrag in handen.
Ze willen het hebben in de dip. :D
Ze willen een afgedekt hebben met opties.
We eisen 5 miljoen, nee 10 miljoen, nee 2 miljoen... :+
Dan kun je beter 1 miljoen bitcoins vragen ! :)
Ik denk dan gelijk aan een outsourcingsclubje of zo. KPN doet zaken in het buitenland staat in de link, wellicht zit daar dus een lek ...
Momenteel is nog niet eens bekend of de afpersers hun claim onderbouwd hebben. Het is vrij zinloos te gaan speculeren over een bron als er niet duidelijk is of er data is. Met bluffen op angst in te spelen om een doel te bereiken is niet nieuw. Doe je dat voor afpersen dan is het ook nog strafbaar. KPN heeft als groot bedrijf met een lange historie heel veel data op heel veel plekken en met heel veel mensen die daar bij kunnen of konden. Het lijkt me vrij normaal om dan te bedenken dat data overal vandaan kan komen. Als het bedrijfsgevoelige data is zou mijn vraag eerder zijn wat dat volgens een afperser is en waar dat beschikbaar kon zijn. Dan valt bij goed datahuishouding veel uit te sluiten en te richten op mogelijke bronnen. Ongeacht of dat outsourcing is of in eigen systemen.
Klopt als een bus uiteraard. Maar dit is precies een scenario die past in mijn alu-hoedjes outsourcing theorie. Klinkt allemaal lekker goedkoop, maar je geeft als bedrijf bewust de controle uit handen aan een partij uit een andere cultuur met wellicht andere normen en waarden. Daar zit mijn punt. Ben benieuwd of we daar nog iets van gaan horen.
Dat zou speculatie zijn, als KPN niet precies naar Slowakije geoutsourced had. Dan kan het nog steeds toeval zijn, maar dit was niet zo serieus genomen als ze iets aannemelijk hadden gemaakt dat ze daadwerkelijk wat hadden. Dus je hebt Slowaken die via outsourcing toegang hebben tot KPN systemen en data gelekt aan Slowaken. Klinkt voor mij als één plus één is twee. Maar lijkt erop dat dit binnenskamers wordt gehouden...
Goed werk, en mooi dat het bij een poging is gebleven. Misdaad mag gestraft worden.
Mag gestraft worden? Moet gestraft worden zul je bedoelen. Het gebeurt alleen maar al te vaak dat daders een straf ontlopen omdat er simpelweg de capaciteit niet is om iedereen op te sporen, of omdat er te weinig aanknopingspunten zijn.
Nou ja moet ...
Laten we misdaad zo veel mogelijk terugdringen en recidivisme voorkomen.
Of (cel)straffen daar effectief bij zijn hangt af van case tot case.
En dat er dan enorm veel manuren zijn ingezet en iemand hooguit 40uur taakstraf krijgt.
Ik vermoed dat veel lezers hier niet (meer) weten dat KPN voor Koninklijke PTT Nederland staat. Waarbij PTT weer staat voor Posterijen, Telegrafie en Telefonie*.

De K van KPN staat dus voor Koninklijk. Dit predicaat wordt op verzoek uitgegeven door de Koning aan organisaties die:
  • een zeer belangrijke plaats innemen in het vakgebied
  • van landelijke betekenis zijn
  • (in principe) ten minste honderd jaar bestaan
Het Koninklijk zijn van een bedrijf geeft dus, zoals @PalingDrone aangeeft, een indicatie van de mogelijke impact op de Nederlandse samenleving als bedrijfsgevoelige informatie in handen is van derden.

* hoewel ik bij het huidige diensten pakket van KPN het logischer zou hebben gevonden als de P voor PSTN zou staan :)

[Reactie gewijzigd door djwice op 24 februari 2018 23:43]

Dit dus, dank voor het uitwerken @djwice
... eindelijk iemand die het snapt ;) ...

Buiten bovenstaande is het predicaat Koninklijk voor velen ook een eretitel en een kwaliteitsoordeel.
In principe zijn bedrijven die dit predicaat voeren van onbesproken gedrag (indien er bijvoorbeeld structureel gefraudeerd zou worden of je het middelpunt bent van schandalen is de kans vrij groot dat je deze titel snel kwijt bent) en betrouwbare handelspartners.
Met het goedkeuringsstempel van de Koning heeft een bedrijf meer waarde en aanzien, zeker internationaal.
Dat opent waardevolle deuren en is van groot economisch belang.
Al zou het maar gaan om aantasting van de "eer en goede naam" van een Koninklijke onderneming verklaart dat prima de extra inzet.
Bedrijfsgevoelige gegevens is natuurlijk een enorm breed begrip.
Hierboven gaat men er gevoegelijk van uit dat het een datalek betreft of iets vanuit het interne KPN netwerk.
Bedrijfsgevoelige informatie zou ook dubieuze aquisities of bewijs van omkoping kunnen zijn, een schandaal niet naar buiten brengen in ruil voor bitcoin is ook afpersing.
Voorbeeld:
Jij betaalt mij nu een x aantal bitcoin en ik breng niet iets in de openbaarheid wat de beurswaarde van KPN aantast.

Datgene hoeft niet eens waar te zijn maar negatieve geruchten hebben weldegelijk invloed op de waarde van een onderneming.
Ik noem een Weinstein Company in combinatie met hashtag metoo, nog voor er ook maar iemand veroordeeld is is de waarde van dat bedrijf volledig ingestort, als je dat denkt af te kunnen kopen met een lading Bitcoin is dat makkelijk verdienen voor criminelen.
Overigens blijf je na betaling net zo chantabel als daarvoor.
Vandaar dat betalen bij afpersing een slecht plan is en het veel verstandiger is in zo'n geval de politie in te schakelen.
Het kan inderdaad van alles zijn. Of niets. Toen ik in de beginjaren van Telemedia (de advertentiepoot van de Telefoongids) bezig was met de gids van Den Haag, bleek dat er een wel heel uitgebreide database in het systeem zat. Het nummer van de bunker van het noodkabinet stond er in, privenummers van een aantal diplomaten, doorkiesnummer naar het Kabinet van de Koningin en nog een paar van die leuke adressen. Een query foutje. Ik neem aan dat de mensheid ondertussen niet slimmer is geworden, ik kan me goed voorstellen dat er iemand een keer iets op een msd kaart zet die onopgemerkt mee naar huis kan.
Behoorlijk dom van die twee mannen 8)7. Denken even met zijn tweeën KPN af te persen. Hoogwaarschijnlijk hadden ze geen eens bedrijfsgevoelige informative maar wouden ze gewoon Bitcoins hebben tewijl die op het moment niet echt aan de stijgende kant zit trouwens :D.
En juist doordat ze een groot geldbedrag vragen, krijgen ze naar rato meer BTC per EUR. Zodra de koers stijgt zijn hetzelfde aantal BTC meer EUR waard, en dat is voordelig voor de 'hackers'. Dus kort door de bocht, is het voor criminelen voordeliger om hun handel in een dip te doen ;), mits de koers weer stijgt.
Behoorlijke last van grootheidswaanzin als je dit soort praktijken bij een bedrijf als KPN gaat proberen. Dat dan weer wel... 8)7
Tja, de kans dat de bakker op de hoek "een groot geldbedrag" kan ophoesten is natuurlijk een stuk kleiner.
Die is wel wat makkelijker af te persen he. Maar goed.
Met gegevens? Dat valt te betwijfelen. De meeste bakkers zijn geen NV dus koersgevoelige informatie is geen issue. En dit lijkt me geen zaak van bedreiging met fysiek geweld.
Die hebben waarschijnlijk de reclame van NCOI gezien. "Hoe hoog leg jij de lat?"
Nou ik wil niet veel zeggen maar KPN is een aantal jaren geleden ook het slachtoffer geworden van eigen personeel dat spullen uit het magazijn haalde en vervolgens doorverkocht aan handelaren. Je zou zeggen dat een bedrijf als KPN in- en uitvoer van goederen goed heeft geregeld maar niets is kennelijk minder waar.
de grootheidswaanzin zelfst.naamw. (m.)
Uitspraak: ['xrothɛitswanzɪn]

psychische afwijking waarbij je jezelf erg overschat
Voorbeeld: `lijden aan grootheidswaanzin`
Synoniem: megalomanie
Betekenis 'grootheidswaan'
Je hebt gezocht op het woord: grootheidswaan.

groot·heids·waan (de; m)
1
ziekelijke zelfoverschatting

vs.

Geen resultaat voor 'Grootheidswaanzin'

Bron www.vandale.nl
Aha, het wordt vaak gebruikt. Dat zorgt meteen dat iets ook correct is, “knul”. Lief dat je aan mijn nachtrust denkt 😍
Basisinformatie waarmee je kunt aanbellen:

'' Goedemiddag mevrouw/mijnheer we zijn hier van Ziggo omdat u aan abbonemt heeft met internet en televisie waar in verband met de veiligheid een handmatige update moet worden uitgevoerd ''

Vervolgens custom firmware voor ziggo modem installeren die alles logt en je kunt los met de identiteitsfraude en bankrekeningen plunderen.

De standaard namen kun je makkelijk herkennen. Iedereen met een beetje verstand hiervan is sowieso niet de lul maar het maakt het wel nog makkelijker om mensen met weinig verstand van ict op te lichten.

Daarnaast kan je het natuurlijk hetzelfde als dit nieuwsbericht met ziggo proberen waarbij je al een voorbeeld hebt van de '' buitgemaakte'' informatie.
Waarom zou ontiegelijk moeilijk doen?
Heb je de SDR topic gelezen in het forum ?
Pak 3 SDR modulles op 3 verschillende lokaties, en meet doormiddel van 3 punts meting exact welke toetsen jij in tikt, welke transistors in je cpu getriggered worden :) :) :)
Dergelijke standaard SSID's worden al decennia gebruikt, hoeveel van dergelijke gevallen zoals je voorspiegelt kun je opnoemen?
Hoe maak iets afpersen? Ik lees dan
misdrijf waarbij het slachtoffer met geweld of onder bedreiging daarvan wordt gedwongen geld af te geven, ...
bron: https://www.juridischwoordenboek.nl/?zoek=afpersen

Van welk geweld is er in dit geval sprake?
Is het niet (ruim gezien) simpelweg aanbieden van gestolen waar?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True