Huawei: we hadden niet zomaar toegang tot klantdata Telfort

Huawei ontkent dat medewerkers zomaar toegang hadden tot klantdata van KPN-dochterbedrijf Telfort. Volgens het bedrijf moet Telfort toestemming hebben gegeven om bij de klantdata te kunnen, bijvoorbeeld om back-ups te kunnen maken.

De claim dat de toegang dus ongeautoriseerd gebeurde, klopt niet, zo claimt Huawei. "In de industrie is het gebruikelijk dat wanneer ICT-bedrijven een dergelijk systeem beheren namens de telecomaanbieders, toegang tot klantdata alleen kan worden verkregen na autorisatie van de telecomaanbieder. Zo moeten er bijvoorbeeld back-ups van bestanden gemaakt worden om onderhoud te kunnen plegen en het systeem tegelijkertijd in de lucht te houden."

Huawei zegt bovendien dat KPN en Telfort verantwoordelijk waren voor het toezicht op de verwerking van persoonsgegevens. "De verwerking van persoonsgegevens en andere relevante data is vastgelegd in zogenoemde dataverwerkingsovereenkomsten. Het monitoren van gemaakte afspraken rondom dataverwerking blijft primair een verantwoordelijkheid van de telecomaanbieders."

Maandag kwam naar buiten dat Huawei tot 2011 bij gegevens van Telfort-klanten kon: er was geen logging, waardoor niet te achterhalen is of medewerkers zich toegang hebben verschaft. De constatering kwam uit een intern rapport van KPN tien jaar geleden. Het is onbekend of er diefstal van data heeft plaatsgevonden, maar in het rapport staat dat daar geen aanwijzingen voor zijn. Huawei maakte de klantsoftware voor Telfort.

IT-banen

Reacties (65)

smolders2007 30 maart 2021 14:09

Waar maken we ons nog druk over als al onze gegevens volledig ingezien kunnen worden door de Amerikanen, die dan alles wat verdacht is weer mooi terugsturen naar de Nederlandse inlichtingsdiensten.

We hebben gewoon totaal geen privacy meer als het gaat om de overheidsinstanties. De grote techbedrijven, zoals Amazon, Apple, Google, Microsoft, etc., die hier worden gebruikt zijn bijna allemaal onder de controle van de Amerikaanse overheid en zodanig dus helemaal open via een corrupt rechtssysteem.

Planck

@smolders2007 • 30 maart 2021 14:23

Het gaat hier over een Chinese partij met sterke banden met de overheid. Daarbij is China een land dat concentratiekampen heeft waar hele bevolkingsgroepen in worden gezet en wat agressief omgaat tegenwoordig met kritiek en daarbij Nederlandse politici en wellicht anderen met een niet welgevallige mening op sanctielijsten zet. Daarnaast hebben de Chinezen hele andere normen en waarden dan waar wij in het Westen aan hechten. Daar komt bij dat je in dit geval er niet redelijkerwijs vanuit had mogen gaan dat ze toegang hebben bij gegevens bij een totaal ongerelateerde derde partij.

Dus ja, dat is wel degelijk heel vervelend en is nogal wat. Dat moet je niet bagatelliseren door naar andere partijen te wijzen waar veel mensen vrijwillig ook persoonlijke gegevens neerleggen. Dat is ten eerste whataboutism, en ten tweede wel degelijk ook een probleem wat de meeste mensen hier ook beamen, maar van een heel andere orden en dat maakt het Huawei dossier zeker niet minder eng.

afterburn @Planck • 30 maart 2021 15:29

Het maakt geen drol uit of het een Chinese partij is of een Nederlandse of wat dan ook. Het gaat om privacy gevoelige data die niet op straat hoort te komen te liggen (waar die straat dan ook ligt op deze aardkloot) en er is maar 1 partij die verantwoordelijk is voor het beschermen van die data, en dat is de eigenaar. KPN dus in dit geval.

En ja, een leverancier die ook het beheer doet van een applicatie die gebruik maar van privacy gevoelige data kan in bepaalde situaties een noodzaak hebben om bij die gegevens te kunnen komen om hun afgesproken werk te doen. Die situaties horen beschreven en afgesproken te zijn, samen met welke data om welke reden naar welke locatie mag. De zogenoemde dataverwerkingsovereenkomsten die Huawei terecht aanhaald. Dit zijn rechtsgeldige overeenkomsten gebaseerd op de GDPR en Huawei zou echt een probleem hebben in Europa als ze die aan hun laars lappen.

Dus in plaats van te focussen op Huawei, en daarmee te impliceren dat het minder erg zou zijn als het een andere, niet-Chinese partij was geweest, moet er in de berichtgeving gefocussed worden op KPN die dus als je de berichten moet geloven haar zaakjes niet goed op orde heeft als het gaat om privacy gevoelige klantinformatie. Of de tendentieuze berichtgeving en makkelijk scoren van de media met propaganda-achtige berichten over Chinese bedrijven, aangezien ik, als iemand die jaren bij KPN gewerkt heeft, weet dat bij KPN het onderwerp klantinformatie behoorlijk gevoelig ligt waar niet zomaar mee gerommeld mag worden. Wij mochten bv in onze staging omgeving al geen niet-geanonimiseerde productie data gebruiken, terwijl deze op KPN machines in een KPN datacenter in Nederland stonden en de toegang alleen vanuit het interne KPN netwerk mogelijk was.

[Reactie gewijzigd door afterburn op 25 juli 2024 22:46]

flurb @afterburn • 30 maart 2021 21:07

KPN is verantwoordelijk, dit was gewoon een project binnen KPN, de mensen bij Telfort in hoge mate KPNérs.

Het probleem is zeer ernstig, Huawei levert namelijk niet alleen de CRM met klantdata maar beheerd ook het netwerk.

Nu is het zo dat als je het netwerk beheerd maar niet de CRM, je niet direct bellers kunt indentificeren maar nu kon en kan Huawei dat dus wel door de backbone data te matchen met CRM/Klant records en zo zouden ze de CDR's aan namen hebben kunnen koppellen.

Maar nu, KPN gebruikt dit dus ook voor KPN mobiel, 2 jaar na dato uitgerold met dezelfde beveiligs concepten.

In theorie kon/kan Huawei hiermee iedereen afluisteren die ze zouden willen inclusief geheime nummers vwb gebruikers van deze netwerken.
Dit is geen absurd scenario.

Tot slot: backdoors, Huawei heeft na uitrol oneindig aantal updates uitgerold (net als bij ieder ander product) en net als bij iedere andere partij zijn hiervan maar zeer zeeeer beperkt code reviews op uitgevoerd. Net als iedere andere enterprise software gebruiker heeft ook KPN geen benul wat die software exact allemaal doet.

Trust me on this one. Helaas en met tranen in de ogen. KPN management was hier zeker van op de hoogte..

Gegeven dat alle keuzes van economische aard (goedkooptste product, goedkoopste services etc.) zijn geweest zou je hier bijna landveraad op kunnen plakken in combinatie met het gebrek aan controls en de bewaking hiervan.

[Reactie gewijzigd door flurb op 22 juli 2024 20:22]

afterburn @flurb • 31 maart 2021 10:37

Volgens mij begrijp je niet helemaal wat ik zeg. Ik claim nergens dat er geen situatie bestaat waar misbruik van gemaakt zou kunnen worden. Dat is inherent aan het bedrijfsmodel wat KPN momenteel aanhangt, waarbij software leveranciers gevraagd wordt niet alleen de software te leveren, maar ook te installeren en te beheren. Een soort van SaaS op locatie.Dit geld voor elke leverancier van KPN, of het nu Huawei, Cognizant, IBM of een Nederlandse ZZP'er is.

Waar jij en anderen over vallen, is dat het hier gaat om een Chinees bedrijf en er vervolgens gesteld wordt dat omdat het een Chinees bedrijf is, deze situatie dus bewijst dat dit bedrijf misbruik heeft gemaakt.

Dat is dus klinkklare onzin. De mogelijkheid voor misbruik is geen bewijs van misbruik. Zoals ik aanhaal, heeft Huawei heel wat meer te verliezen door privacy beschermd materiaal door te sluizen dan te winnen aangezien waer ze betrapt worden ze zaken doen in de gehele EU wel kunnen vergeten.

Voorlopig is er geen enkel bewijs van misbruik en is er alleen een sterke indicatie dat er een voor misbruik gevoelige situatie is gecreeerd door KPN/Telfort. En ik vind het persoonlijk tenenkrommend dat het kennelijk tegenwoordig OK is om bedrijven en mensen publiekelijk aan de schandpaal te nagelen en te beschuldigen van zaken zonder daarvoor concreet bewijs te leveren enkelt en alleen vanwege de afkomst van een persoon of bedrijf.

Er wordt in de media en hier gewoon gesteld dat het een probleem is omdat Huawei een Chinees bedrijf is. Niet omdat dat KPN mogelijk zijn zaakjes niet goed op orde heeft. Waarmee je dus direct impliceert dat als het niet zou gaan om een Chinees bedrijf, het geen probleem was geweest. Dan steek je je hoofd naar mijn mening wel heel diep in het zand. Dat heeft verder niks met whataboutisms te maken, maar iedereen beoordelen met dezelfde maatstaf. Omdat als de basis goed, in dit geval bij KPN, het geen bal uitmaakt waar het bedrijf vandaan komt. Dan hoef je ook niet bedrijven uit een onwelwillig land te bschuldigen van misbruik en andere bedrijven te bedekken met de mantel der liefde, alsof die geen misbruik zouden maken van een situatie als die zich voordoet en ze er voordeel mee kunnen halen.

EDIT:
Waarbij ik dan ook nog wil toevoegen dat als we ons laten leiden door ongeverifieerde en tendentieuze berichtgeving in de media en onderbuikgevoelens in plaats van verifeerbare feiten, we straks dus geen onderscheid meer kunnen maken tussen propaganda (van welke origine dan ook) en realiteit. En dan worden we dus heel effectief tot schaapjes gekneed, waarbij je straks een outcast, conspiracy-aanhanger en paria wordt gelabeled (of erger) als je kritisch nadenkt en kritische vragen stelt.

Niet mijn soort samenleving.

[Reactie gewijzigd door afterburn op 25 juli 2024 22:46]

flurb @afterburn • 3 april 2021 23:25

Dan begrijp je mijn punt ook niet geheel ;-)

A) All blame op KPN
B ) Mijn kernpunt betrof dat er bij deze wegtrekker niet alleen sprak is van een mogelijk data lek maar vooral een belachelijk commercieel gedreven governance model.
Waarbij daarnaast het beheer van deze data enorm trickie is, als men dan ook nog kiest om één partij ook nog zo ongeveer alle andere rollen laat invullen binnen dit ecosysteem dan tja.....

Mijn generieke standpunt in deze om even mijn plaats in het spectrum te duiden:

- Schuldig indien de juiste rechter dat heeft kunnen vaststellen
- Data die toevertrouwd wordt aan bedrijven of overheden dient zorgvuldig en met de juiste controls te worden bewaakt
- Bedrijven en overheden hebben de plicht om dit te voorkomen, te monitoren en waar nodig gedupeerde schadeloos te stellen en zeker te informeren
- Vooringenomenheid op afkomst is een zeer slechte raadgever

Nu in deze, betrokkenen weten dat in dit geval de firewalls tussen Telfort en de leverancier letterlijk zijn uitgeschakeld en verkeer zeer slecht of niet is gemonitoord (was lekker efficient voor ondermeer het testen en verzenden van grote brokken data), security controls zijn daarnaast tot lang na go-live niet gehandhaafd.

Leverancier heeft zowel deelgenomen aan design, ontwikkeling, QA uitrol en draait ook in hogemate van de operatie, zowel voor het backbone (geen probleem an sich) maar gecombineerd met de CRM data een natte droom voor iedere kwaadwillende, je kan in de basis gaan afluisteren etc..

Leverancier had na implementatie nog de volgende rollen:
- Hardware leverancier van mobiele backbone
- Hardware leverancier van de front-end infra
- Software bouwer
- Software installateur
- QA support
- Techinsche Implementatie rol
- Beheerder van backbone
- Beheerder van de front-end infra
- Beheerder van de software (backbone)
- Beheerder van de software (Front-end)

Nu maakt het mij persoonlijk niet uit of dit een Chinese, Duitse, Finse of Amerikaanse leverancier zou zijn maar als je hier voor kiest als klant, wetende dat je een data beschermende verplichting hebt, dan ben je zeer slecht bezig.
Als je daarbij ook nog dusdanig sensitieve data in beheer hebt zoals CRM data van 90% van de inwoners van NL, bijbehorende bel historie plus functionaliteit om real-time te bemoeien met lopende belletjes dan ben je als profesionele telco dienstverlener helemaal af.
Misschien dat ik niet goed overkwam maar mijn sneer gaat in deze naar KPN en de overheid die hier van kon weten en zeker te weinig heeft gecontroleerd.

De drivers waren economisch van aard en werden breed uitgemeten in de media.

De slecht geinformeerde hype media mbt "hawks" of security dingetjes heb ik zelf verder niets mee. Meestal is dat toch een soort van RTL Boulevard geneuzel.

Vwb de media: KPN heeft dit lekker proberen weg te moffellen, zie alleen al hoe ze hun eigen afdeling Telfort als apart bedrijf proberen te duiden in dit PR verhaal...

[Reactie gewijzigd door flurb op 25 juli 2024 22:46]

afterburn @flurb • 4 april 2021 10:52

Volgens mij zijn we het dan behoorlijk eens. 😊

johnkeates @afterburn • 30 maart 2021 16:52

In theorie heb je gelijk, in de praktijk weet je dat je niet op China kan vertrouwen om onze wetten en contracten in acht te nemen. Dat geldt voor wel meer landen en overheden, maar bij China (en ook anderen) komt de beslissing of dat gevaarlijk is of niet neer op de normen en waarden, de ethiek en de relatie.

janbaarda @johnkeates • 30 maart 2021 17:05

In de praktijk kun je beter je data aan China verliezen dan aan e.o.a. westerse verkooporganisatie. China heeft niets aan jouw gegevens, je bent tegen China en gaat daar niet op vakantie. Amerika daarentegen, je geliefde bestemming, houdt je bij de grens aan wegens onwelgevallige berichtjes.

Ik bedoel maar, de gemiddelde Nederlander heeft veel minder contact met de Chinese overheid dan met westerse mogendheden.

johnkeates @janbaarda • 30 maart 2021 18:16

Je kan je data beter helemaal nergens aan kwijtraken, en als jij niet naar China gaat maar een familielid, collega of lid van de sportclub dat wel doet krijgen die dan de problemen om dat ze dan gelinkt zijn aan jou.

De argumentatie 'het maakt niet uit want ik doe er toch niks mee' gaat niet op, hetzelfde geldt voor identiteitsfraude en hergebruik voor wachtwoorden; het gaat er niet om dat je zelf denkt dat het wel meevalt, maar het gaat om alle bijwerkingen die het verlies of lekken van die data betekent.

Neem telfort; als er een groot bedrijf is in NL, bijv. een fabrikant van matrijzen die levert aan een fabrikant van flesjes die weer levert aan een farmaceutische fabriek, dan is dat een ingang voor een APT die zin heeft om iets in dat proces te injecteren. Bijvoorbeeld een specificatie sheet in PDF-vorm waar een payload in zit die pas bij de laatste stap iets gaat doen. Als dat grote bedrijf in NL dan een CEO heeft die privé of zakelijk bij Telfort zit, dan is dat wel data die een APT in China mooi even in kan zetten.

Dat kan uiteraard ook een stuk minder technisch; als de CEO een familielid heeft dat dan weer getrouwd is met een Oeigoer, dan zeg je tegen dat familielid of de CEO: doe wat ik zeg, of de familie van doe Oeigoer komt het kamp nooit meer uit.

Het gaat bij dit soort data niet om de 100000 mensen die zichzelf irrelevant vinden, maar om het handjevol mensen waar alle data waardevol van is om druk mee te kunnen zetten of misbruik van te kunnen maken.

Het verschil tussen de US en China zit hem er dan in dat de schaal van mensen opsluiten om druk uit te oefenen diverse ordegroottes verschil kent.

janbaarda @johnkeates • 31 maart 2021 01:30

als de CEO een familielid heeft dat dan weer getrouwd is met een Oeigoer, ...

Opvallend: daar beschrijf je precies de situatie van een familielid van Huawei dat aangehouden werd in een westers land (op verzoek van de VS) om druk uit te oefenen op een groot Chinees bedrijf.

jbhc @Planck • 30 maart 2021 14:47

Ondanks dat ik het deels met je eens ben sluit het een het ander natuurlijk niet uit. Het is niet alsof de VS geen dingen doet die het daglicht niet kunnen verdragen (en ik ben ook niet zo naïef dat ik denk dat dit niet ook zo is voor onze eigen overheid).

Het echte probleem is dat je er als persoon ondertussen bijna niet meer onderuit kunt komen. Alles en iedereen verzameld je data en die data komt overal en nergens terecht.

Gutser @Planck • 30 maart 2021 15:34

Persoonlijk denk ik dat je meer te vrezen hebt van de VS dan van China. China koppelt iig niet terug naar de Nederlandse overheid en een uitleveringsverzoek door China wordt ook minder makkelijk gehonnoreerd dan een uitleveringsverzoek vanuit VS. De VS wil zelfs nog wel eens mensen ontvoeren vanuit Europese landen.

FooLsKi @Planck • 30 maart 2021 15:02

Je kunt ook zo'n beetje hetzelfde zeggen over de USA (deportatiekampen, kinderen van 'illegalen' apart van ouders opgesloten, Guantanamo Bay, sancties tegen landen die handel drijven met o.a. China, en ga zo nog maar door). Ik ben sterk geneigd om Huawei in deze te geloven.

Osiummaster @FooLsKi • 30 maart 2021 15:18

USA is zeker geen engeltje maar daar voelt het meer als mensen in de stront gooien om profijt te maken dan doelgerichte massa genocide. Er worden zelfs Oeigoeren in Nederland vervolgd https://www.amnesty.nl/ac...g-zelfs-niet-in-nederland

Ik denk dat Europa zich qua infrastructuur zo snel mogenlijk onafhankelijk moet maken van andere continenten, maar dat dat stapsgewijs moet gebeuren en voornamelijk eerst de grootste boosdoeners wegspelen.

KoffieAnanas @janbaarda • 30 maart 2021 19:28

Het zou prettig zijn als je je breed laat informeren en aan waarheidsvinding zou doen. Gezien jouw berichten die je her en der plaatst op Tweakers heb je moeite buiten je eigen (informatie)bubbel te treden en heb je moeite met waarheidsvinding en andermans meningen.

Je lijkt de onderdrukking van Oeigoeren te ontkennen en het propagandistische verhaal vanuit China voor zoete koek aan te nemen. Uiteraard hebben de Oeigoeren het beter, mits ze zich volledig schikken in hun lot bepaald vanuit de centrale overheid, ze hun eigen identiteit opgeven en zich laten ver-han-chinezen. De overige Oeigoeren die zich niet aanpassen aan hoe de overheid dat wil, die heeft het wat minder goed. Subtiel gezegd.

Je ontkenning van het probleem voor de Oeigoeren is schokkend te noemen.

Aan de andere kant, je zet je af tegen alles wat Nederlands of westers is. Je hebt vermoedelijk een traumatische of negatieve ervaring opgelopen in het verleden met de overheid of je medemens. Dit vertaalt zich nu in opstandig gedrag en het afzetten tegen autoriteit en de heersende mening, daarbij waarheidsvinding negerend.

Je zoekt aandacht, en die krijg je op deze wijze. Dat is het doel van al je reacties. Er bestaan betere manieren om aandacht te vragen voor je persoonlijke situatie. Ik hoop dat je iemand vindt in je omgeving die je ziet staan en je kan helpen.

Max|IA² @KoffieAnanas • 31 maart 2021 02:34

Het is eerder schokkend dat er zoveel idioten zijn die alles geloven wat Amerika zegt.
Vroeger geloofde ik ook Amerika dat de wereld beter is zonder moslims want die kunnen alleen maar andere mensen doden die niet moslim zijn. Saddam met zijn WMD waarmee hij ons allemaal kon vernietigen etc.
Waarom zijn moslim landen bevriend met China? Waarom is alleen Amerika en zijn honden die blaffen?
Ga eens feiten checken en laat die hersencellen werken.

Als dit doorgaat dan komt er staks 3e wereldoorlog. Is dat wat je wilt?

[Reactie gewijzigd door Max|IA² op 25 juli 2024 22:46]

janbaarda @KoffieAnanas • 31 maart 2021 01:38

We moeten ophouden met het aanwakkeren van jingoïsme en proberen objectief te blijven. Iedereen heeft kunnen waarnemen wat er gebeurt als leugens voor zoete koek worden aangenomen. De voorbereiding op de aanval op Irak liggen nog vers in het geheugen. De verhaaltje over WMD's en de getuigenis van een z.g. ooggetuige over het vermoorden van incubatie baby's zijn voorbeelden van wat nu herhaalt wordt naar China.

Mensen wordt wakker!!! Voorkom een derde wereldoorlog en ga op waarheidsvinding.

Osiummaster @amigob2 • 30 maart 2021 19:38

Ik weet niet zeker of je vraag sarcastisch is maar wegens de eerste comment van janbaard ga ik er maar gewoon serieus op in
Dat eerste is te verklaren omdat Nederland erkent heeft dat China genocide pleegt op de Oeigoeren https://nos.nl/artikel/23...or-china-is-genocide.html met veel bewijs waarvan een deel in het artikel staat.

Het tweede gebeurt omdat de genocide sinds ~2016 gestart is wat dus niet 20 jaar is, en het feit dat mensen kindere krijgen niet betekent dat er niet systematisch mensen afgeslacht, gemarteld en verkracht worden in China.

Osiummaster @amigob2 • 30 maart 2021 20:38

Oh je bent blijkbaar echt een CCP shill, ik twijfelde even. Ga nog eens even in op punt 1 terwijl ik je bij de admins raporteer

spartanius27 @Planck • 30 maart 2021 14:57

Je kunt niet zomaar de normen en waarden van een land bekriteseren als je er zelf of nooit geweest bent of nog niet eens de moeite hebt genomen om je er zelf in te verdiepen. Onze journalistieke berichtgeving is ook totaal gericht vanuit dee normen en waarden(westers). Wie zijn wij om dat te beoordelen.
China is een land dat al honderden jaren bekritiseerd en gediscrimineerd wordt door tal van westerse landen. Maar zonder hun hadden we niet een welvarend Amerika laat staan een welvarend Europa.
Ik zou zeggen, laten we meer naar onszelf kijken in plaats naar wat anderen doen en stop de verspreiding van ongebaseerde haat.

K-aroq @smolders2007 • 30 maart 2021 16:24

Heb je een bron waaruit blijkt dat de Amerikaanse overheid alles van KPN, Vodafone, T-Mobile in kan zien? En ik neem aan dat op dit forum best wel een developer zit die kan bevestigen dat hij onder dwang van Amerika een achterdeur in software heeft moeten bouwen. Zou leuk zijn als iemand dat kan bevestigen.

crazybee @K-aroq • 31 maart 2021 09:57

https://www.tomshardware....ounts-software,37480.html

kodak

Privacy

@smolders2007 • 30 maart 2021 15:54

Hoe is je mening over privacy in het algemeen relevant of redelijk bij deze situatie? Je lijkt namelijk zomaar te stellen dat het niets uit maakt door maar wat te noemen wat je uit komt voor je stelling, zonder duidelijk te zijn waar verschillen in zitten tussen wie wanneer en met welke redenen toegang heeft tot welke gegevens. Als je alles over een kam gaat scheren is het wel erg makkelijk om iets te beweren.

Noresponse @smolders2007 • 30 maart 2021 22:47

Wat huawei bedoelt is dat als er in de software een issue is op klantniveau en Telfort dit niet kon oplossen dan moest Huawei erbij om een order eruit te slopen etc. Dit had ik gisteren ook al gemeld, maar uiteindelijk weggehaald, maar nu Huawei dit zelf meld

. Daarbij worden logs bijgehouden op klantniveau welke gebruiker/groep/kanaal bij de gegevens heeft gekeken. Als een mediamedewerker kijkt op klantniveau dan wordt dit ook zichtbaar. Ik denk dat het moederbedrijf van Telfort dit ook ziet en vraag me af in hoevere dit een risico is en ze snappen ook wel dat het zo lijkt (het kan) . Je kan altijd een uitdraai doen van al je dealers, personeel, winkels etc. en kijken naar de uitzonderingen en deze afzetten tegen de opdrachten die zijn gegeven aan Huawei. Ze werken al meer dan 11 jaar met Huawei en er als er issues waren dan hadden ze de stekker er wel uit gehaald.

Overigens liggen de klantgegevens niet bij Huawei maar bij de provider zelf. als Huawei daadwerkelijk alle gegevens weggehaald heeft dan moeten ze dat per klant doen en dan zijn de logs ook zichtbaar. Dit is ook voor extern partners en denk maar niet dat die met een druk op de knop een backup kunnen maken.

Ik zie steeds meer berichten over huawei en lijkt wel of iedereen bang is voor het merk terwijl je ook gewoon google, ios of windows gebruikt en laat ik dan maar niet beginnen over de social media apps.

[Reactie gewijzigd door Noresponse op 25 juli 2024 22:46]

Guerilla 30 maart 2021 14:03

Ze hebben gelijk. KPN en Telfort kunnen wel met hun vinger naar Huawei wijzen maar zij zijn er zelf verantwoordelijk voor.

Wat mij alleen niet duidelijk is is of de data inderdaad alleen gebruikt is om backups te maken of daadwerkelijk naar China is doorgestuurd (of beide).

ArcticWolf @Guerilla • 30 maart 2021 14:09

Dat weet dus niemand

Het is onbekend of er diefstal van data heeft plaatsgevonden, maar in het rapport staat dat daar geen aanwijzingen voor zijn

En laatste deel uit het bericht van gisteren: nieuws: Huawei kon bij gegevens van miljoenen Telfort-klanten

Volgens hoogleraar computerbeveiliging Bart Jacobs geeft het rapport een belangrijk inzicht in de werkwijze van Huawei en is het erg kritisch over het ontbreken van beveiligingsmaatregelen en afscheidingen in de software. "Dit interne rapport zegt niet dat alle klantgegevens van Telfort naar China gekopieerd zijn, maar wel dat Huawei zichzelf de positie had gegeven om dat te kunnen doen", zegt hij tegen de Volkskrant. "Dat is kennelijk hoe ze hun software leveren. En dat is waar we nu nog steeds een belangrijke les aan hebben: Huawei blijkt zelf diep in de geleverde systemen aanwezig."

Enige waar ik benieuwd naar ben is dit deel:

De Volkskrant schrijft dat moederbedrijf KPN in 2011 bij Telfort onderzoek deed naar een nieuwe klant- en facturatieomgeving die door Huawei werd beheerd. Uit dat onderzoek kwam naar voren dat Huawei regelmatig bestanden uit deze omgeving haalde. Omdat er geen logging aanwezig was, kon niet worden gemonitord wat er precies werd gekopieerd.

Dat moet wel te achterhalen zijn toch...? En waar ze het voor gebruikte.

[Reactie gewijzigd door ArcticWolf op 25 juli 2024 22:46]

Brahiewahiewa @ArcticWolf • 30 maart 2021 15:36

...Dat moet wel te achterhalen zijn toch...? En waar ze het voor gebruikte.

Nee, dat kan dus niet. Er was namelijk geen logging op de data. Er was alleen logging op de firewall, dus men kon zien dat er een data verbinding naar een ip van Huawei is geweest. Maar hoeveel data is getransporteerd weet men niet en al helemaal niet om welke data het ging

ArcticWolf @Brahiewahiewa • 30 maart 2021 16:29

Iemand bij Huawei heeft toch copy & paste gedaan, ergens... Die persoon moet het toch weten. Dat bedoelde ik.

Brahiewahiewa @ArcticWolf • 30 maart 2021 16:38

Dat is zelfs maar de vraag. De persoon die de desbetreffende commando's heeft ingetikt hoeft niet persé te weten wat er allemaal zou gaan gebeuren.

Als er een verantwoordelijke is, zit die veilig in China en de kans dat we hem te spreken krijgen of kunnen ondervragen is zo ongeveer kleiner dan nul

kodak

Privacy

@Guerilla • 30 maart 2021 15:44

Het verschil is het woord primair, bij verantwoordelijkheid. Ik lees nergens dat het bedrijf daarbij dus niet zelf ook een verantwoordelijkheid had om aan te tonen wat ze wel en niet met de toegang zouden hebben gedaan. Ik lees ook niet wat het bedrijf dan echt heeft gedaan om alleen te leveren waar toestemming voor was.

Als je als dienstverlener bij persoonsgegevens van je klant kan dan is er vaak een groot gebied waarover de eerste verantwoordelijke zelf geen inzag in kan hebben, vooral als de diensten niet gemaakt zouden zijn om te loggen en als gegevens bij het andere bedrijf verwerkt worden. Of denk je dat jij als bedrijf wel even volledig genoeg bij een ander bedrijf mag en kan rondkijken wat ze allemaal wel en niet werkelijk met de gegevens doen? De verantwoordelijkheid kunnen nemen heeft dus grenzen die een dienstverlener moet helpen verantwoorden.

Ik lees helaas niet hoe die verantwoordelijkheid dan is genomen, of dat voldoende zou zijn gedaan dat die toegang legaal bestond. Daar lijken ze omheen te draaien door te stellen dat het normaal zou zijn, of iets kunnen maar gebruikelijk is. Dat ze niets zonder toestemming zouden delen wil daarbij helaas niet zeggen dat ze met toestemming ergens bij konden of alleen met toestemming persoonsgegevens zouden verwerken.

K-aroq @Guerilla • 30 maart 2021 16:25

Normaal gesproken zijn er inderdaad strenge processen voor. Een engineer van een leverancier kan nooit zomaar inloggen op het klantnetwerk.

n4m3l355 30 maart 2021 14:03

De een analyseert zijn logfiles en geeft aan van wel, de ander zegt van niet. En als dit nou eenmalig was, maar tefort geeft aan dat dit meer dan twintig keer voorgekomen is? En dat Huawei in tegenstelling van hun reactie niet luisterde?

Huawei een bedrijf dat meermaals in het nieuws is gekomen met leugens, onderanderen hoe zij exporteerde naar Iran, aangaven dat dit niet zo was terwijl de internationale gemeenschap duidelijk zag van wel. Vervolgens diezelfde mensen promoveerde en via een shell doorging.. het mag duidelijk zijn dat wat Huawei ook zegt, gewoon niet te vertrouwen is.

Yagermeister @n4m3l355 • 30 maart 2021 14:14

Ik denk dat dit wat erg makkelijk is om te roepen dat Huawei hier fout is. KPN en Telfort hebben wel degelijk een controlerende functie en zij hebben dus ook gewoon keihard gefaald hierin. Daarbij vindt ik het een beetje raar dat dit pas na 10 jaar naar buiten komt op een moment dat Huawei toch al slecht in het nieuws is.

Alxndr

@Yagermeister • 30 maart 2021 15:18

Ze wisten het tien jaar geleden al, dus om te zeggen dat ze keihard gefaald hebben in net zozeer erg makkelijk.

Afgaande op dit en het vorige artikel weten we dat Huawei verborgen toegang voor zichzelf had ingebouwd, blijkbaar zo goed verborgen daar pas 9 jaar later achter kwamen.

Dat het niet naar buiten komt vind je raar? Zo werkt dat toch gewoon? Of wordt bij jullie elke poep en scheet openbaar gemaakt, ongeacht of publicatie relevant/verplicht/gevoelig is?

Yagermeister @Alxndr • 30 maart 2021 20:38

Wat ik bedoel is dat ze dit dus ook 10 jaar terug naar buiten hadden kunnen brengen en dan hadden ze de potentiele schade meer kunnen beperken dan dit gewoon doodleuk te laten lopen voor zolang.

Het is zeker niet goed te spreken dat Huawei toegang had (verborgen of niet) maar KPN heeft er ook nog wel erg graag een handje aan om alles van zich af te schuiven zodat hun geen blaam treft.

Dit had toen al naar buiten moeten komen. Hier werd tenslotte de privacy overtreden en hadden de desbetreffende personen/getroffenen ook geinformeerd moeten worden zoals dat nu ineens wel zal gebeuren.

Alxndr

@Yagermeister • 30 maart 2021 22:27

Principieel/theoretisch gezien ben ik het met je eens, maar ik herinner me dat in het vorige artikel stond dat er op dat moment nog geen wetgeving was die het verplicht maakte om het te openbaren.

Welke (potentiële) schade bedoel je trouwens? Ik denk niet dat er naar aanleiding van dit nieuws ook maar 1 persoon zijn KPN/Telfort abo heeft opgezegd, en de schade voor de klant van wie zijn gegevens gestolen zijn... Dat zal KPN al helemaal een worst wezen.

Ik vind het ook niet reëel om van een kapitalistisch bedrijf te verwachten dat ze dit soort informatie vrijwillig delen, onder de hoed houden is goedkoper, makkelijker en algemeen/maatschappelijk geaccepteerd.

Eerlijk zijn over fouten is iets wat we onze kinderen leren, maar in de maatschappij over het algemeen keihard afgestraft wordt. We hebben zelfs een wet moeten maken om klokkenluiders te beschermen. En dat was niet eens ergens in de vorige eeuw, maar nog geen 5 jaar geleden!

Guru Evi @n4m3l355 • 30 maart 2021 14:36

Huawei zegt niet dat ze geen toegang gekregen hebben. Ze ontkennen het niet, ze zeggen enkel dat als ze het hadden dat Telfort het toegelaten had (direct of indirect). Daarmee dat ze redelijk precies zijn ook hoe ze zulke informatie verkregen hebben (backups).

Huawei weten wat ze doen, het is uiteindelijk een Chinees regeringsbedrijf, die zijn al 10 jaar verder aan het nadenken. Dat zie je met de belt&road projecten in Afrika en Europa en Zuid Amerika, de vaccineleveringen in Afrika en Europa en Zuid Amerika, gratis en goedkoop 5G uitrollen.

Ze zijn de wereld stilletjes aan het inlijven en wij mogen er niets van zeggen of we zijn neokoloniaal en racistisch aan het denken. Dat zeiden de Chinese regering onlangs tegen de Biden administratie. “Wij zijn kwaad op jullie behandeling van de Uyghurs” “Jullie zeggen zelf dat je racisten zijn, zo blijf in je eigen land”

[Reactie gewijzigd door Guru Evi op 25 juli 2024 22:46]

tunnelforce1 @n4m3l355 • 30 maart 2021 14:12

Je zou het ook kunnen omdraaien en stellen dat de sancties misdadig zijn en buiten alle proporties.

"In the past 12 months, the cost of health and medical services rose by 19%," (bericht uit 2019)
Alleen maar door de sancties.

betwetor 30 maart 2021 14:04

Is dat niet exact het zelfde bij de andere leveranciers?

kodak

Privacy

@betwetor • 30 maart 2021 16:13

Wat zou hetzelfde zijn?
Het oorspronkelijke nieuws was dat de leverancier ergen bij kon op een manier die niet gewenst leek, dit nieuws lijkt te gaan om beweren dat er geen ongewenste situatie bekend was en de opdrachtgevers vooral verantwoordelijk zijn.

Een leverancier kan niet zomaar bij gegevens. Vaak gaat het dan om ze de gegevens geven, van hun software of hardeware gebruik maken met de gegevens, of dat medewerkers toegang krijgen om bij de gegevens te kunnen. Ik maak uit het verhaal niet op dat omdat er kennelijk gebruik is gemaakt van softwarw of hardware het dus redelijk zou zijn dat de dienstverlener dus ook bij de gegevens kan, zelfs als dat waarschijnlijk niet gevraagd is.

betwetor @kodak • 31 maart 2021 10:38

Net als dat Siemens het het hele Voip platform van KPN regelde. Hardware servers en software.
En Siemens medewerkers konden net zo goed bij alle klantdata. Zelfs een IT minded bedrijf als KPN doet IT werk niet veel meer zelf.

kodak

Privacy

@betwetor • 31 maart 2021 12:47

Als een bedrijf sloten laat installeren met de afspraak hoe de sloten werken en dat de leverancier ze zal onderhouden, is dat volgens jou dan hetzelfde als de leverancier mag op elk mogelijke manier toegang hebben of zelf maken?

FooLsKi @betwetor • 30 maart 2021 15:04

Uiteraard, maar daar krijg je geen extra clicks door

Gody @betwetor • 30 maart 2021 15:23

Het ligt veel aan de gekozen oplossingen (gebruikte software, toegangsmethoden, etc), maar het is niet ongebruikelijk dat leveranciers van software-oplossingen inderdaad servers, services en data-bronnen kunnen benaderen. Kan men dan bij klantdata?, ja soms/op bepaalde niveaus wel. Is dat een probleem?, dat ligt eraan. Hoe zijn rollen, beveiliging, interfaces, logging, etc geregeld. Ik betwijfel of andere partijen dan Huawei ontwikkeling en/of beheer wel eenvoudig in goede banen kunnen leiden zonder toegang tot data.
Testdata wordt dan vaak als oplossing genoemd maar in de praktijk wordt dit lang niet altijd gebruikt. De hoofdredenen om dat niet te doen zijn de extra kosten die het met zich meebrengt. Want testdata, zeker wanneer data tijdgevoelig is (datums met name), creëert en onderhoud zichzelf helaas niet. (Denk oa ook aan edge-cases in data, data die al x migraties en conversies meedraait, of uit andere systemen komt).
Het is dus vaak een compromis tussen veiligheid en werkbaarheid. Of die keuze goed is gemaakt als je achteraf geen inzicht of logging blijkt te hebben. Het is goed dat we alert en kritisch zijn, maar om de leverancier direct als schuldige aan te wijzen gaat wellicht wat te ver.

Zie ook de kwestie “13 jaar aan mailboxen van bestuurders en ambtenaren Almere zijn verdwenen”. Je bent er als afnemer zelf bij betrokken.

Risce 30 maart 2021 14:02

Betere titel was geweest: Huawei had wél toegang tot klantdata, maar dat kwam omdat Telfort dat volgens hen had toegestaan. Maar ja, dat klinkt minder goed, die geef ik je

Question Mark Moderator SWS WOS 30 maart 2021 14:46

Wat ik mij afvraag: het oorspronkelijke artikel heeft het over ongeoorloofd gebruik van gegevens door Huawei. De ontkenning komt van Huawei Nederland.

Dat Huawei Nederland, bepaalde zaken wel of niet doet is één ding, maar geld dit dan ook meteen voor heel Huawei?

Brahiewahiewa @Question Mark • 30 maart 2021 15:42

Je gaat er nu min of meer van uit dat het "data transport" uitgevoerd is door werknemers van Huawei Nederland. Maar het is natuurlijk goed mogelijk dat een werknemer van de moedermaatschappij zich over de inloggegevens ontfermt heeft, buiten het medeweten van Huawei Nederland

Dubbeldrank

30 maart 2021 14:13

Toch bijzonder dat de AIVD meerdere keren bij KPN heeft aangeklopt dat de gegevens in handen zijn van Chinese spionagegroepen, en dat daar geen actie op ondernomen is.

grimlock 30 maart 2021 17:39

Grappig hoe snel ze nu wel reageren, maar eerst op aanvragen vanuit KPN/Telfort niets lieten weten. Beetje jammer, hoe snel kan je door de mand vallen.

CAPSLOCK2000

Privacy

30 maart 2021 17:55

Dit is zo herkenbaar. Wat hier gebeurt is dat alle veiligheid op papier staat en alleen formeel geregeld is. Dan zijn er boekwerken volgeschreven over procedures en verantwoordelijkheden zonder dat iemand ook maar is gaan kijken of het gebouw uberhaupt een voordeur heeft. Iedereen in de keten stelt z'n voorwaarden "slim" op en denkt alle verantwoordelijkheid af te hebben gewentelt op andere partners, typisch zonder echt te snappen wat ze zelf beloven en wat hun partners garanderen. Daar zit altijd een flink gat tussen. Zodra er een paar partners zijn is dat gat onoverbrugbaar groot.
Ze beloven allemaal de mooiste processen en certificaten maar harde garanties krijg je nooit. Iedere stap verschuilt zich vooral achter afschuiven van aansprakelijheid.

Ik proef het in bovenstaande bericht. Huawai klinkt haast trots op haar cirkelredenering. Huawei mag alleen bij de data als de klant toestemming geeft. Als Huawei toegang heeft dan moet de klant dus wel toestemming hebben gegeven. Alsof je een gevangenisdirecteur opsluit in z'n eigen gevangenis zonder hem eerst te ontslaan. Hoe lang zou dat nu goed gaan?
Huawei geeft zelf aan dat ze deze systemen beheren. Het is dan nogal vanzelfsprekend dat ze toegang hebben. Dat impliceren dat ze alleen bij die data kunnen met toestemming is dus misleidend.
Het boeit ze niet eens. Het gaat er om dat ze niet aansprakelijk zijn, of het veilig is kan ze geen fluit schelen.

Laat duidelijk zijn wat hier staat. Huawei had toegang tot alle gegevens de enige beperking daarop zijn papieren afspraken. Of ze toestemming hadden om bij die gegevens te komen is secundair, ze hadden toegang en zonder controle. En ga er maar van uit dat het bij andere Telco's hetzelfde. Iedereen is alles aan het uitbesteden en er zijn er steeds minder die nog in staat zijn om hun eigen systemen te beheren. De meesten kopen alles (hardware, software en beheerders) kant-en-klaar in uit China en vertrouwt op een contract waarin wat beloftes staan die op geen enkele manier worden gecontroleerd of afgedwongen.

Tweakr 30 maart 2021 22:46

Wellicht wel bekend maar toch het melden waard: KPN maakt vandaag de dag nog steeds gebruik van de klantensoftware (RMI) van Huawei voor haar mobiele abonnementen en prepaid klanten. Dit geldt ook voor de Telfort klanten die inmiddels zijn overgezet naar KPN. In deze software zijn o.a. ook legitimatie documentnummers met uitgifte en einddatum zichtbaar van duizenden klanten.

Ik kan mij voorstellen dat dit qua privacy erg gevoelig ligt, nog los van eventuele Chinese inmenging. Schijnbaar is het voor KPN Security geen prio want er is nooit iets aan gedaan.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: