Kleine Nederlandse providers waren volgens AIVD doelwit van Chinese hackersgroep

Nederlandse internetservice- en hostingproviders zijn doelwit geweest van cyberaanvallen door de Chinese hackersgroepering Salt Typhoon. Dat hebben de MIVD en AIVD ontdekt. Ze hadden volgens de inlichtingen- en veiligheidsdiensten toegang tot de routers van 'kleinere' providers.

De Nederlandse Militaire Inlichtingen- en Veiligheidsdienst en de Algemene Inlichtingen- en Veiligheidsdienst voerden onderzoek uit naar aanleiding van een bericht van vorig jaar, waaruit bleek dat hackers die gelieerd zijn aan de Chinese overheid maandenlang toegang hadden tot netwerken van grote Amerikaanse internetproviders. Daardoor konden ze mogelijk systemen binnendringen die de overheid gebruikt voor afluisterverzoeken. Destijds werd enkel gemeld dat een 'klein aantal' isp's van andere landen ook doelwit was van de cyberaanvallen van de hackersgroep. Nu bevestigen de MIVD en AIVD dat daar ook Nederlandse providers tussen zaten.

Het gaat volgens de inlichtingen- en veiligheidsdiensten niet om grote telecomproviders, maar om 'kleinere internetservice- en hostingproviders'. Specifieke namen worden niet genoemd. Salt Typhoon zou toegang hebben tot de routers van deze providers, maar de hackers zijn 'zover bekend' niet verder doorgedrongen in hun interne netwerken, in tegenstelling tot bij de Amerikaanse isp's. De MIVD en AIVD verwachten dat de Chinese hackers zich in dit geval voornamelijk hebben gefocust op de providers uit de VS, maar waarschuwen wel dat het aantal cyberoperaties met Nederlandse doelwitten groeit.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 28-08-2025 13:03
76 • submitter: wildhagen

28-08-2025 • 13:03

Submitter: wildhagen

Lees meer

TU Delft zegt niet te zijn getroffen door Chinese hackers

TU Delft zegt niet te zijn getroffen door Chinese hackers Nieuws van 14 februari 2025

Onderzoekers: Cisco-apparaten van TU Delft doelwit van cybercriminelen - update

Onderzoekers: Cisco-apparaten van TU Delft doelwit van cybercriminelen - update Nieuws van 13 februari 2025

President VS ontslaat veiligheidsraad die Chinese hack op isp's onderzoekt

President VS ontslaat veiligheidsraad die Chinese hack op isp's onderzoekt Nieuws van 23 januari 2025

'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS'

'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS' Nieuws van 5 oktober 2024

Meer producten en artikelen

Beveiliging en antivirus China Hack internet providers Isp Nederland Provider

Reacties (76)

JJ Le Funk 28 augustus 2025 13:34

De betreffende ISP's zijn niet bekend. Dat geeft al aan dat er geen meldplicht bestaat voor ISP's naar hun klanten toe wanneer hun systemen gecompromiteerd zijn (geweest). Jammer, want dat zou een motivator kunnen zijn voor klanten om toch een VPN service in te stellen voor wie zich veiliger waant bij een kleine ISP.

RobertMe @JJ Le Funk • 28 augustus 2025 13:43

Maar als je een VPN gebruikt wordt het niet veiliger. Je verplaatst alleen het probleem. Gebruik je een VPN moet je net zo goed de VPN aanbieder vertrouwen dat ze niks inzien / opslaan of in dit geval niet "hackbaar" zijn.

bogy @RobertMe • 28 augustus 2025 14:44

Correct.. Daarom gebruik ik ook nooit publieke wifi zonder enige beveiliging; ik verbind telkens met m'n eigen vpn-server (zit mee in de fritzbox) als ik op een publiek of mogelijk onveilig netwerk zit.

Publieke vpns (betalend of niet) vertrouw ik eenmaal minder dan mezelf, ik zou ook ni weten waarom ik een bedrijf buiten m'n isp zou betalen om data langs te sturen... Eerlijk gezegd vertrouw ik m'n eigen isp meer dan een of ander vpn bedrijf dat vanuit een of ander belastingsparadijs opereert...

LigeTRy @bogy • 28 augustus 2025 15:35

Daarom gebruik ik ook nooit publieke wifi zonder enige beveiliging

Welk risico probeer je daarmee te mitigeren? Alles gebruikt tegenwoordig HTTPS of certificate pinning. Ik vind dit advies achterhaald voor de gemiddelde gebruiker.

That being said: als je het hebt, kan het ook geen kwaad

[Reactie gewijzigd door LigeTRy op 28 augustus 2025 15:37]

RobertMe @LigeTRy • 28 augustus 2025 15:45

DNS is niet versleuteld (tenzij je DoT / DoH gebruikt, en ook dat is niet standaard). En HTTPS gebruikt nog steeds SNI waarbij de hostname in plain tekst wordt uitgewisseld. Immers kan een webserver tientallen/honderden domeinen serveren en kunnen al die domeinen een eigen certificaat gebruiken ("moet" wel tenzij het of een enorm wildcard cert is of alle tientallen / honderden domeinnamen er in staan). Daarom dat via SNI alvast vooraf wordt doorgegeven om welk domein het gaat zodat ook de verbinding met het juiste certificaat opgezet wordt. En dat is dus nog steeds in plain text.

LigeTRy @RobertMe • 28 augustus 2025 16:12

Eens hoor, maar welk risico loop je daarmee? Ja, iemand met onjuiste intenties kan zien welke website je bezoekt en met veel moeite DNS poisoning doen (waar bij mobiele apps cert pinning daar meestal wel tussen spring), maar wat is de kans.

Ik zou me meer zorgen maken over de tracking cookies en de data die daaruit komt. Wat overigens wel mooi af te vangen is met een pihole en wireguard/vpn verbinding naar huis.

demianmonteverd @LigeTRy • 29 augustus 2025 14:07

Hier bij tweakers zitten natuurlijk ook allemaal netwerk- en systeembeheerders. Die kunnen vaak bij allerlei gevoelige data.

LigeTRy @demianmonteverd • 29 augustus 2025 15:27

En hoe zou een VPN naar huis die verbinding veiliger maken?

Het punt wat ik een beetje probeer te maken is dat we soms er hameren op beveiligingsmaatregelen voor risico's die eigenlijk helemaal niet zo'n risico zijn, maar omdat we het al jaren prediken, iedereen z'n hakken in t zand zet.

Ja DNS is by default niet encrypted, en in theorie zou iemand heul precies of snel een DNS sinkhole kunnen maken, een juist certificaat serveren en een pagina precies namaken zodat jij er gevoelige gegevens invoert, maar realistisch gezien is die kans gewoon heel miniem. Een beetje hetzelfde met je telefoon opladen in een USB poort in een hotel/bus, daar kunnen een boel mensen heel panisch over doen, maar het is (voor de meeste mensen) niet zo'n risico. Laat ze eerst hun RDP poorten maar niet exposen aan het internet, daar bereik je veel meer mee :)

demianmonteverd @LigeTRy • 29 augustus 2025 16:29

Je hebt gelijk.

Niet veel helaas. Het was meer een algemene opmerking. Blijft nog dat er mensen hier zijn die net nog iets interessanter zijn om te hacken.

@LigeTRy • 28 augustus 2025 18:56

HTTPS zegt niets over of het veilig is; HTTP wel (namelijk kwetsbaar voor MITM). HPKP wordt niet meer gebruikt en HSTS is trust on first use. Certificate transparency zou wel kunnen helpen, maar cert pinning doe je op client niveau en is daarmee optioneel.

Marzman @RobertMe • 29 augustus 2025 07:04

In dit voorbeeld niet, je moet hem meer vertrouwen dan hoe je slager met je data om gaat en dat het niet gelekt wordt. Over het algemeen heeft een vpn provider daar wel meer ervaring mee.

Je ip kan bepaalde informatie bevatten, het land, je provider, misschien de stad. Dat is op zich niet nodig, al is het bij een slager denk ik wel aan te nemen dat je in hetzelfde land zit en waarschijnlijk in de buurt van dezelfde stad.

[Reactie gewijzigd door Marzman op 29 augustus 2025 07:04]

CH4OS @JJ Le Funk • 28 augustus 2025 13:53

Vanuit GDPR/AVG is die plicht er wel?

Hack
Beveiliging en antivirus
Nederland

@CH4OS • 28 augustus 2025 14:46

Ook niet zomaar. De wetgever geeft bedrijven nogal veel ruimte om niet transparant naar klanten te moeten zijn. Het melden gaat eerder om een toezichthouder te informeren. De grens wanneer het voor klanten belangrijk is om van gebreken af te moeten weten ligt erg ver. De wetten zijn vooral gemaakt om bedrijven te beschermen die het niet zo nauw met de belangen van klanten nemen en daardoor klanten kunnen verliezen of door klanten aansprakelijk gesteld kunnen worden als die er weet van hebben.

Orangelights23 @CH4OS • 28 augustus 2025 14:36

Verplichten en het volgen is 1. Maar het daadwerkelijk weten is 2. Ik heb een aantal klanten in deze sector en hun cybersecurity activiteiten zijn niet altijd heel volwassen.

Goldwing1973 @CH4OS • 28 augustus 2025 14:36

“maar de hackers zijn 'zover bekend' niet verder doorgedrongen in hun interne netwerken”

Er is geen data buitgemaakt, geen persoonsgegevens gelekt, dus dan is er geen noodzaak om dit te melden.

ZixeSea @JJ Le Funk • 28 augustus 2025 13:42

Deze snap ik niet helemaal? Hoe helpt een VPN bij een modem die lek is als een mand. Een VPN helpt eigenlijk alleen voor uitgaande verkeer

JJ Le Funk @ZixeSea • 28 augustus 2025 13:47

@RobertMe ik bedoel ter afscherming van het eigen internet verkeer.

in NL ben je vanuit de wet redelijk beschermd en kleine ISP's hebben niet eens het geld om te investeren in dataopslag van al het internetverkeer van hun klanten. dat kan een gevoel van 'veiligheid' opwekken. echter blijkt nu dat sommige ISP's kennelijk vatbaarder zijn voor hacking dan verondersteld waardoor het internetgedrag van gebruikers gestolen had kunnen worden. denk daarbij aan: websites bezoek en content interesse; username en activiteit op websites; duratie van bezoek; frequentie van bezoek; interactie met anderen.

[Reactie gewijzigd door JJ Le Funk op 28 augustus 2025 13:51]

the_stickie @JJ Le Funk • 28 augustus 2025 14:57

De kost van 'cybersecurity' software en hardware en het implementeren, gebruiken en onderhouden ervan is op grotere schaal echt enorm. Bovendien gelden voor klanten van ISP's andere regels dan voor werknemers: het monitoren van verkeer stuit al snel op allerhande bezwaren (privacy) en aan de andere kant hebben de gebruikers minder grenzen. Als klant van een ISP verwacht je nu eenmaal dat toegang tot allerhande grijze sites en zwarte hoeken van het internet. Als bedrijf kan je bijvoorbeeld heel eenvoudig aan url- of contentfiltering doen, wat het 'attack-surface' kleiner maakt, maar dat kan je als ISP niet maken. Klanten willen toegang hebben tot bijv porno, warez en het darknet. Dat maakt oa intrusiedetectie plots veel lastiger, al was het maar omdat een aanval snel verdrinkt in allerhande meldingen van 'gevaarlijk' of 'verdacht' verkeer.

Dat is natuurlijk geen reden om het niet te doen (of proberen). Maar ik vrees dat een kosten/baten- of risicoanalyse uitwijst dat een complete setup gewoon te kostelijk is en niet verenigbaar blijkt met een kleinere ISP met redelijke prijzen.

@JJ Le Funk • 28 augustus 2025 14:08

Artikelen 11.3a en 11a.2 van de Telecommunicatiewet voorzien wel in een mogelijke meldplicht aan klanten. Ik ben wel benieuwd hoe dit hier geinterpreteerd moet worden.

China
Hack
Beveiliging en antivirus
Nederland

@JJ Le Funk • 28 augustus 2025 15:00

Elke ISP is het doelwit van aanvallen. Moet je ISP je daarvan op de hoogte stellen? Uiteraard niet. Mensen zouden zich nodeloos zorgen maken.

Daarnaast is toegang hebben tot de routers nog iets anders dan toegang hebben tot de administratieve backend. Je zou wel verkeer kunnen storen, of verkeer kunnen doorsturen naar andere systemen. Maar daar vandaag de dag bijna alles encrypted is, heb je ook daar weer niet veel meer aan.

En die VPN service, ben je gek? Ik snap niet dat mensen denken dat ze daarmee veiliger zijn. Je betaald enkele euro aan een bedrijf waar meestal durfkapitaal achter zit, dat dus net als doel heeft een goede return on investment te geven. Die hebben nog minder budget voor veiligheid. En die ga jij dan wel vertrouwen? Je gaat je snelle internetverbind trager maken, meer latency toevoegen, het probleem dat je denkt af te dekken gewoon verplaatsen waardoor de veiligheid nog minder gewaarborgd is. Neen, dit hoort niemand aan te zetten om voor een VPN te kiezen.

Luchtbakker @JJ Le Funk • 28 augustus 2025 19:28

De betreffende ISP's zijn niet bekend. Dat geeft al aan dat er geen meldplicht bestaat voor ISP's naar hun klanten toe wanneer hun systemen gecompromiteerd zijn (geweest).

Moet de AIVD dat wel delen met de providers. Het kan best zijn dat ze wel het lek zelf gemeld hebben, maar niet door wie het misbruikt is.

sircampalot 28 augustus 2025 13:07

Als ik het stuk goed begrijp, zat er een lek in de backdoor die geplaatst is om aansluitingen te kunnen aftappen?

RobertMe @sircampalot • 28 augustus 2025 13:40

Daardoor konden ze mogelijk systemen binnendringen die de overheid gebruikt voor afluisterverzoeken.

Lees ik als "doordat ze toegang hadden tot de routers / ... ze dusdanig al op het netwerk zaten dat ze wellicht via die route ook aan andere systemen konden komen".

Als in: je hoeft maar één component te hebben die lek is, waardoor iemand die daar op komt van daaruit verder kan. Bv in een thuissituatie dat je op de router in de firewall alles dicht hebt gezet waardoor niemand binnen kan komen. Vervolgens heb je bv een lekke beveiligingscamera (zeg een met een backdoor) waardoor de fabrikant ineens vanaf de beveiligingscamera wél toegang tot je netwerk heeft. Immers heb je die camera zelf binnenshuis geplaatst en bevindt die zich al achter de firewall / heeft de firewall geen nut meer (tenzij je het netwerk segmenteert met VLANs en dus firewall tussen VLANs hebt).

crzyhiphopazn @RobertMe • 28 augustus 2025 14:11

Dat klopt.
1 apparaat hoeft maar een doorgang te hebben naar internet waar een lek in is en als die uitgebuit wordt dan is het netwerk segment waarin het apparaat zich bevindt vatbaar.
Daarom wil je meestal dezelfde apparaten in elk een aparte VLAN hebben zodat die in principe geen toegang hebben tot de andere apparaten op het netwerk.

Als je netwerk apparatuur (switch / router) gehackt wordt dan is het een ander verhaal.
Dan is potentieel je heel netwerk direct vatbaar.

In de regel is het zo dat je home / ISP router een firewall heeft die je min of meer kan dicht zetten voor buitenaf.

Beste is een eigen router met Firewall ingesteld achter je ISP modem te hangen zodat je eigen beheer hebt over je eigen interne netwerk.

Evt zero-trust en MAC-filtering toepassen // SSID niet broadcasten // wifi AP op een aparte VLAN (Wifi hardware technisch gescheiden houden van je Router)
Alle poorten expliciet dicht en alleen handmatig openzetten.

je kan nog veel verder gaan met security inregelen, maar dan ga je meer richting pro-sumer / zakelijk

rud @crzyhiphopazn • 28 augustus 2025 14:26

https://www.google.com/search?q=is+hiding+your+ssid+a+good+idea

crzyhiphopazn @rud • 28 augustus 2025 14:42

SSID hiden is niet de holy grail ofzo dat je dan niet te hacken bent.
Net zoals dat er in je link wordt gezegd zet WPA3 erop. Dat is default dat er beveiliging op je Wifi is ingeschakeld. Wilde meer zeggen er zijn legio opties om je attacking vector een kleine beetje kleiner te maken.

Eindstand ben je aan de leverancier van de firmware overgeleverd of de software gaten heeft of niet. Opensource maken van code ben ik voorstander van -> community kan dan gaan spitten waar er fouten zijn.

the_stickie @crzyhiphopazn • 28 augustus 2025 15:05

Segmenteren is een waardevolle best-practice die jammer genoeg voor een ISP lastig uit te voeren is. Klanten verwachten nu eenmaal een 'plat' netwerk zonder gedoe om een nieuw AP of wifi-printer te koppelen. Ook heb je als ISP geen zeggenschap over de endpoint devices. De klant beslist merk/type en of er updates geïnstalleerd worden.

Als ISP moet je natuurlijk alle managementinterfaces wel afschermen en segmenteren, en kan je klanten in groepen/vlans verdelen, maar met de juiste kwetsbaarheden kan je vaak net vanop een clientinterface naar admin of mgmt of een andere vlan jumpen. Je hebt uitstekend configuratiemgmt (en -monitoring) en wellicht een set (dure) professionals nodig om dat te detecteren. Ik vrees dat dat in veel gevallen moeilijk verenigbaar is met een kleinere ISP die goedkoop internet wil aanbieden.

crzyhiphopazn @the_stickie • 28 augustus 2025 15:31

Ja als ISP zijnde is het zeker moeilijker om te segmenteren, maar niet onmogelijk.
Doen ze ook met je internet snelheid.
Het is meer wat vindt de klant nog prettig qua segmentatie van IP's / services (poorten) / QoS om nog klant te blijven.

Het is zeker een moeilijke weegschaal om goede service te bieden en tegelijkertijd zo goed mogelijk beveiligd te zijn tegen het boze internet.

the_stickie @crzyhiphopazn • 28 augustus 2025 17:53

wat ik dus al zeg:

...en kan je klanten in groepen/vlans verdelen...

maar dat gaat in tegen de best practice om (ook) per devicetype en functie te segmenteren. Bijv: op een printer 'persistence' verkrijgen is (meestal) kinderlijk eenvoudig, maar als de officeprinters netjes in een aparte vlan staan, kan je er al moeilijk(er) aan en is daarmee weinig gewonnen (want moet je voor 'lateral movement' alsnog gaan 'vlan hoppen').

De klanten van ISP's krijgen veelal een subnetje achter een NAT router-AP-modem, een plat netwerk dus, waar je als attacker kan bewegen naar waar je maar wil (om persistence of de juist privileges) te verkrijgen en van daaruit de ISP modems of materiaal verderop aan te vallen. Afaik is het juist daarom dat die edge routers van ISP's zo kwetsbaar (en gewild) zijn...

Vaatdoek82 @RobertMe • 28 augustus 2025 14:40

Welke schade kan je d.m.v. een camera aanrichten of hoe ver is je bereik?

RobertMe @Vaatdoek82 • 28 augustus 2025 15:28

Als bv de fabrikant een backdoor heeft, of deze gewoon lek is, zou een kwaadwillende deze dus als "hop" kunnen gebruiken naar andere apparaten in je netwerk. Denk bv aan een gedeelde map in Windows of een NAS benaderen. Heb je daar geen of zwakke authenticatie op (of is deze software lek) dan kunnen dus ook zomaar documenten / prive gegevens lekken (zeg bv een belastingaangifte met BSN en alles die op een slecht beveiligde NAS staan).

Een firewall op je router (/"NAT" bij IPv4 waardoor je kinda geen inkomende firewall nodig hebt) is maar één defensieve maatregel en voorkomt alleen dat iemand van op het internet met software in jouw netwerk kan verbinden. Apparatuur die zich al in jouw netwerk bevindt (zoals bv een beveiligingscamera, of ander IoT spul, of uberhaupt gewoon pc / laptop / telefoon / ...) helpt de firewall van jouw router niet meer tegen. Dus denken "router beschermd mij" is een slechte (/ouutdated) gedachte. Ja, het is een beschermingsmaatregel, maar daar houd het niet op. En de meeste hacks zullen ook nu al gebruik maken van meerdere schakels door of lekken of slechte beveiliging.

En in de context van dit artikel dus dat wellicht die router van de ISP die ze over nemen wellicht niet perse een grote ramp is zolang deze router niet bv ook toegang verschaft tot het beheer of zelfs bedrijfsnetwerk van de ISP. En je wilt al helemaal niet dat een lekke router aan de ISP kant zeg maar vervolgens ook toegang geeft tot het netwerk op kantoor waardoor ze via die route in administratie / facturatie systemen kunnen komen. En zo'n router moet wellicht wel informatie kunnen wegschrijven naar een server die de logging doet v.w.b. wie wat op internet doet (de vereisten vanuit overheid dus), maar die router zou geen data uit zo'n systeem mogen lezen. Waar dit artikel dus ook op wijst met de "Daardoor konden ze mogelijk systemen binnendringen die de overheid gebruikt voor afluisterverzoeken.". Zo'n systeem zou een router niet van moeten hoeven lezen of maar heel minimaal, en al helemaal niet bv de mogelijkheid geven dat via een aanval op de router een tap wordt geplaatst op een verbinding.

Vaatdoek82 @RobertMe • 28 augustus 2025 15:56

Dank voor de inhoudelijke uitleg

sircampalot @Vaatdoek82 • 28 augustus 2025 15:30

Simpeler: inzetten als DDos apparaat.

Vaatdoek82 @sircampalot • 28 augustus 2025 15:58

Wanneer je wasmachine even 500gb bandbreedte verstookt

sircampalot @Vaatdoek82 • 29 augustus 2025 23:42

Als er maar genoeg van dat soort low-powered apparaten zijn, is het effect groot genoeg om er een aanval mee te kunnen uitvoeren.

DefaultError @RobertMe • 28 augustus 2025 15:33

Van bepaalde merken zat er behoorlijk lang standaard een account in de firmware gebakken zodat je altijd binnen kunt komen. Nu dus ook bij de routers van kleine ISP’s.

Met een gecompromitteerde ISP is de stap om binnenshuis te kijken niet ver weg.

Je kunt de vraag stellen, waarom is dit niet al eerder uitgelicht.

RobertMe @DefaultError • 28 augustus 2025 15:39

Nu dus ook bij de routers van kleine ISP’s.

Met een gecompromitteerde ISP is de stap om binnenshuis te kijken niet ver weg.

Je kunt de vraag stellen, waarom is dit niet al eerder uitgelicht.

Dat is helemaal niet wat ik lees. Ik lees dat het hier gaat om routers van de ISP bij de ISP. In het core netwerk dus. Niet de router bij jouw thuis, maar de router aan de andere kant van de kabel in het datacenter/knooppunt/... van de ISP. Dus bv het spul dat bij een AMS-IX of zo hangt.

Vandaar ook "hostingproviders" (en ISPs). Een hostingprovider doet natuurlijk niks met een consumenten routertje. Maar een hosting provider heeft wel routers om de servers op het internet aan te sluiten, het verkeer tussen DCs, racks, ... te sturen, etc etc.

En dat past ook veel beter bij de zin "Daardoor konden ze mogelijk systemen binnendringen die de overheid gebruikt voor afluisterverzoeken.". Die systemen voor afluisterverzoeken heeft de router die de ISP je levert natuurlijk helemaal niks mee van doen. Dat zal dus gaan om de routers in het datacenter / knooppunt van de ISP.

DefaultError @RobertMe • 28 augustus 2025 20:45

Mijn ISP verzorgt mijn updates en ik ben er van afhankelijk. Als een mogendheid toegang heeft tot de infrastructuur zoals een router van in eerste instantie de ISP betekent geen goed nieuws.

Tenzij je je router niet van updates voorziet, en dat veroorzaakt weer andere issues.

DrWaltman @sircampalot • 28 augustus 2025 13:10

Verwijderd vanwege onzekerheid.

[Reactie gewijzigd door DrWaltman op 28 augustus 2025 13:11]

Aldy @sircampalot • 28 augustus 2025 13:37

Er staat dus min of meer dat er gebruik is gemaakt van de backdoor bij de Amerikaanse providers. Wat ik mij afvraag, is of er van hetzelfde lek gebruik is gemaakt bij de Nederlandse providers en zo ja, waarom hebben die de backdoor?

Beveiliging en antivirus
Nederland
Hack

28 augustus 2025 13:27

In een ideale wereld zou een dergelijk aanval weinige nuttige informatie opleveren.
In een ideale wereld is al het internetverkeer versleutelt en kan je eigen ISP niks zien, en krakers dus ook niet.

In zo'n wereld zou de aanvaller wel storingen kunnen veroorzaken (bv door apparatuur uit te schakelen) maar geen informatielek. Er is ook nog wel iets mogelijk op grond van IP-adressen (zoals de klanten aan IP's koppelen) maar grootschaals afluisteren zou niet mogelijk moeten zijn.

Helaas is de wereld niet ideaal en gaat er nog altijd een hoop onversleutelde data over de lijn. Van DNS-lookups tot SNI-handshakes tot e-mail tot VNC, enzovoort, enzovoort.

Er is realistisch gezien niks dat ik kan doen om te voorkomen dat mijn ISP gekraakt wordt. Ik kan hooguit eentje kiezen waarvan ik denk dat ze hun techniek & security op orde hebben maar ik kan dat onmogelijk controleren.
Wat ik wel kan doen is mijn eigen verkeer versleutelen en nadenken over hoe ik omga met zaken die (om wat voor reden dan ook) niet versleuteld kunnen worden. Het is niet dat ik mijn ISP niet vertrouw maar meer dat ik liever technische zekerheid heb dan goed vertrouwen.

Zentac @CAPSLOCK2000 • 28 augustus 2025 14:00

Je kan weldegelijk jezelf hier beter tegen beschermen. Door je eigen router te plaatsen achter die van de ISP, door die DNSSEC af te laten handelen, en niet de DNS van je provider af te nemen. En eventueel om een VPN op te zetten. Maar het webverkeer zelf is vrijwel geheel https, dus niet inzichtelijk.

Beveiliging en antivirus
Nederland
Hack

@Zentac • 28 augustus 2025 14:11

Je kan weldegelijk jezelf hier beter tegen beschermen. Door je eigen router te plaatsen achter die van de ISP, door die DNSSEC af te laten handelen, en niet de DNS van je provider af te nemen.

DNSSEC helpt tegen manipulatie maar niet tegen afluisteren of blokkeren.

En eventueel om een VPN op te zetten.

Dat helpt zeker als je je ISP niet vertrouwt, maar uiteindelijk is het niet meer dan het verplaatsen van het probleem naar een andere partij: de VPN-provider.

Maar het webverkeer zelf is vrijwel geheel https, dus niet inzichtelijk.

Nee, helaas, dat klopt niet. Bijna, maar niet helemaal. HTTPS begint nog steeds met een stukje plain-text en daarin staat de hostname waarmee je verbinding zoekt.

Zie Wikipedia: Server Name Indication

Server Name Indication payload is not encrypted, thus the hostname of the server the client tries to connect to is visible to a passive eavesdropper. This protocol weakness was exploited by security software for network filtering and monitoring[4][5][6] and governments to implement censorship.[7

Er zijn verschillende oplossing voorgesteeld, deels ingevoerd en weer afgeserveerd. In het algemeen moet je er van uit gaan dat HTTPS de hostname lekt.

baseoa @CAPSLOCK2000 • 28 augustus 2025 14:59

In een ideale wereld is al het internetverkeer versleutelt

Met welke sleutel?

Key distribution problem is real. Voor HTTPS en STARTTLS in SMTP (e-mail) wordt een CA-systeem gebruikt waarbij we allerlei derde partijen vertrouwen om te controleren dat de partij is wie xij zegt dat xij is. Dat doen de CA's door bijvoorbeeld een bestandje op de webserver te laten plaatsen, maar om dat te controleren gebruikt de CA een onbeveiligde verbinding. Ofja, ze zouden het oude certificaat (zover voorhanden) kunnen vertrouwen maar érgens moet je de sleutel bootstrappen. Controle hebben over verkeer is dus ook een gevaar indien iedereen voor alles TLS gebruikt

De enige manier om dit te voorkomen is out-of-band een sleutel uitwisselen, zoals naar de bank lopen en ze om de fingerprint van de sleutel te vragen die ze gebruiken. Op bijvoorbeeld Signal kan dat door het "safety number" te controleren; bij PGP en SSH heet het key fingerprint; bij Threema is het je public key. Elk veilig systeem heeft een methode, maar je moet het wel doen en in het geval van HTTPS en e-mail gebeurt dat praktisch nevernooit en er gaat wel ontzettend veel gevoelige informatie doorheen

Beveiliging en antivirus
Nederland
Hack

@baseoa • 28 augustus 2025 21:43

Met welke sleutel?

Key distribution problem is real. Voor HTTPS en STARTTLS in SMTP (e-mail) wordt een CA-systeem gebruikt waarbij we allerlei derde partijen vertrouwen om te controleren dat de partij is wie xij zegt dat xij is.

Dat controleren van derde partijen stelt in praktijk niks voor. Voor de meeste certificaten, zoals LetsEncrypt wordt je identiteit totaal niet gecontroleerd.

De enige manier om dit te voorkomen is out-of-band een sleutel uitwisselen, zoals naar de bank lopen en ze om de fingerprint van de sleutel te vragen die ze gebruiken.

Ik ben wel fan van DANE/TLSA, daarbij ontvang je de key via DNS waar je toch al moet zijn om het IP-adres van de host op te zoeken.

aikebah @CAPSLOCK2000 • 28 augustus 2025 17:31

Helaas is de wereld niet ideaal en gaat er nog altijd een hoop onversleutelde data over de lijn. Van DNS-lookups tot SNI-handshakes tot e-mail tot VNC, enzovoort, enzovoort.

e-mail is vrijwel overal (START)TLS tegenwoordig. De tijd dat dat nog plaintext over de lijn ging ligt in een ver verleden.

Beveiliging en antivirus
Nederland
Hack

@aikebah • 29 augustus 2025 06:43

e-mail is vrijwel overal (START)TLS tegenwoordig. De tijd dat dat nog plaintext over de lijn ging ligt in een ver verleden.

Ja en nee, de praktijk is wellicht minder mooi dan je denkt.

STARTTLS begint ook met plaintext. Eerst zet je een normale (clear text) SMTP verbinding op en pas daarna activeer je STARTTLS. Veel informatie lekt daar niet, maar het is wel makkelijk om het verkeer te manipuleren en dat is een probleem.

Want het klopt wel dat tegenwoordig overal (START)TLS gebruikt wordt, maar wat vrijwel niemand doet is verbieden om onversleuteld te mailen. Als je de verbinding kan verstoren in de eerste stappen dan zullen de meeste mailservers terugvallen op klassieke (onversleutelde) SMTP en alles in plain-text versturen. Als je het verkeer ergens kan onderscheppen (zoals bij de ISP) dan is dat vrij makkelijk.

Daarnaast is het heel gebruikelijk voor mailsoftware om TLS-certificaten niet te controleren en blind ieder certificaat te accepteren, ook verlopen certificaten met de verkeerde naam. Vooruitgang op dat vlak gaat maar heel langzaam.

Dus ja, in praktijk wordt de meeste mail via versleutelde verbindingen verzonden maar bij een gerichte aanval blijft daar weinig van over. Ik adviseer om belangrijke mail (ook) te versleutelen op mail-niveau, dus met PGP of S/MIME, en niet te vertrouwen op encryptie van de verbinding of de mailserver.

DefaultError @CAPSLOCK2000 • 28 augustus 2025 20:51

Als niet boven het maaiveld uitsteekt ben je niet meer dan ‘a needle in a haystack’.

Beveiliging en antivirus
Nederland
Hack

@DefaultError • 29 augustus 2025 06:31

Als niet boven het maaiveld uitsteekt ben je niet meer dan ‘a needle in a haystack’.

Om de analogie wat verder op te rekken: dan wordt je met het hooi mee opgegeten.

Internetcriminaliteit en datahonger gaat meer over het verzamelen van hooi dan over het zoeken naar naalden. Niet opvallen maakt geen verschil als ieders data wordt verzameld of afgeluisterd.

Verder verzet ik me ook tegen het idee dat wij ons zelf moeten beschermen door niet op te vallen. Het is niet heel anders dan "als je een kort rokje draagt dan vraag je er om...". Het is praktisch gezien misschien goed advies maar dat is niet hoe de wereld zou moeten werken.

DefaultError @CAPSLOCK2000 • 29 augustus 2025 10:11

Als een ieder een kort rokje draagt val je niet meer op. Het is een kul vergelijking.

Als eindgebruiker, thuisconsument, ben je minder belangrijk. Een journalist zal beter weten bij een keus van ISP aanbieder. Ben wel benieuwd welke ISP’s het zijn over NIHS gesproken.

vrije_vogel 28 augustus 2025 13:32

Vooropgesteld. Operations van telecom netwerken is niet mijn dagelijkse werk.
Ik verbaas me.

De interface van een router maak je toch alleen toegankelijk via een aparte verbinding (VLAN, VPN) vanaf een zeer beperkt aantal systemen? Dus alleen toegang vanaf een paar specifieke ip-adressen op een apart logisch of fysiek netwerk, gescheiden van de rest van de wereld?
De kwetsbaarheden die ik zie zijn de 'usual suspects'; op afstand installeren van pakketten, buffer overflows, en een server overnemen. Dit lijkt me niet zozeer een geval van wat zijn die hackers toch slim, maar van opleiding tot goede systeembeheerders?

Cyb @vrije_vogel • 28 augustus 2025 13:49

De kwetsbaarheden die ik zie zijn de 'usual suspects'; op afstand installeren van pakketten, buffer overflows, en een server overnemen.

Chinese potentiele spionage apparatuur zit tegenwoordig overal in de gemiddelde huiskamer van de gemiddelde Nederlander, wat bij veel kleine bedrijven niet anders zal zijn.
China is marktleider in security camera's. Denk aan de camera's van de Chinese staat zoals Hikvision. Die worden massaal in grote getale bij Europese bedrijven geinstalleerd, vaak gewoon hangende in het interne netwerk.
Denk ook aan Tuya netwerk IoT devices die rechtstreekts vanuit China bestuurt worden, denk aan bijv. wifi lampen, en de daarbij behorende apps op de mobiele telefoons.
China is marktleider in stofzuiger robots die vol met camera's, microfoons en andere sensoren zitten.
China wordt marktleider in EV's die vol met camera's, microfoons en sensoren zitten.

Men hoeft steeds minder moeite te doen om een aanval volledig van buiten af uit te voeren, omdat men er al in zit.

vrije_vogel @Cyb • 28 augustus 2025 14:12

Ehm, maar een end point device wordt niet over hetzelfde (logische) netwerk gerouteerd als de beheertoegang tot routers etc. Mag ik hopen. (Come on....)

@vrije_vogel • 28 augustus 2025 15:32

Helaas zijn sommige beheerders bij kleine en middelgrote bedrijven niet zeer bedreven in het segmenteren van hun netwerk. Het zou wel moeten maar het gebeurt vaak genoeg dat 'voor het gemak' alles met alles kan praten.

robertpNL @Cyb • 28 augustus 2025 14:10

Waarom implementeren we Chinees apparatuur in onze systemen? is dat omdathet beter is vergeleken met de Europees of Amerikaanse varianten? https://www.nu.nl/klimaat/6366882/chinese-bus-rukt-op-in-nederland-en-dat-leidt-tot-zorgen-over-spionage.html " Elektrische stadsbussen uit China leveren op tijd en zijn "beter dan anderen" las ik vandaag dus bevestigd dit mijn indruk. Wat kunnen wij doen om zelf beter te worden? Of, waarom lukt het ons niet om minimaal het niveau te bereiken als de Chinezen?

(edit: link fix)

[Reactie gewijzigd door robertpNL op 28 augustus 2025 14:52]

Beveiliging en antivirus
Nederland
Hack

@robertpNL • 29 augustus 2025 06:52

Of, waarom lukt het ons niet om minimaal het niveau te bereiken als de Chinezen?

Even heel kort door de bocht: China heeft minder bescherming voor mens en milieu. De salarissen zijn laag, de werkomstandigheden slecht, er zijn minder regels rond milieu, afval, gif, etc.. Daardoor zijn ze goedkoop.

De vraag moet niet zijn hoe wij ons tot hetzelfde niveau verlagen maar hoe we zorgen dat we eerlijk kunnen ocncurreren. De klassieke manier is via invoerheffingen (ook al is dat momenteel een nogal besmet onderwerp). Als (bv) een Chinees kledingmerk 20% goedkoper is door kinderarbeid dan zetten we er een invoerheffing van 20% op zodat westerse bedrijven dezelfde prijs/kwaliteit kunnen leveren zonder kinderarbeid. Ondertussen ga je met de Chinese regering onderhandelen en leg je uit dat die 20% heffing weg gaat als ze stoppen met kinderarbeid.

Hack
Beveiliging en antivirus
Nederland

@Cyb • 28 augustus 2025 14:26

Alleen vermelden diverse eerdere bronnen juist dat er in dit geval geen gebruik zou zijn gemaakt van zero-days of dus onbekende gebreken. Er valt dus niet zomaar te stellen dat het door Chinese apparatuur komt. Eerder wat @vrije_vogel stelt, een algemener gebrek aan kennis wat behoorlijke beveiliging is (en het toepassen daarvan). En hoewel we het met elkaar eens kunnen zijn dat daaronder valt dat je niet zomaar apparatuur moet vertrouwen is het probleem niet veilig genoeg te werken kennelijk groter.

Bergen @vrije_vogel • 28 augustus 2025 14:19

De interface van een router maak je toch alleen toegankelijk via een aparte verbinding (VLAN, VPN) vanaf een zeer beperkt aantal systemen? Dus alleen toegang vanaf een paar specifieke ip-adressen op een apart logisch of fysiek netwerk, gescheiden van de rest van de wereld?

Zo'n opzet is wel gebruikelijk ja. Een gebruiker logt in op een VPN (uiteraard met MFA), en kan dan een 'jumphost' bereiken (eventueel ook weer via MFA), dat is een uitgeklede Linux- of Unix-doos die specifiek bedoeld is om andere netwerkapparatuur te bereiken. Verder heb je op zo'n jumphost helemaal geen rechten. De meeste commando's zijn uitgeschakeld, je kunt geen scripts draaien, etc. Maximale security. En security operations zou zo'n jumphost natuurlijk kunnen monitoren, audit logging kunnen bekijken, misschien zelfs complete sessies replayen.

Wat ook in opkomst is, zijn oplossingen waarbij het wachtwoord na elke login verandert. En dan moet je in een aparte secure omgeving zo'n one time password ophalen. Dan heb ik het dus niet over een RSA-key, maar echt over het wachtwoord bij het account. Zo'n host contacteert dus na elke login een centrale password vault, die het wachtwoord voor dat account en die host wijzigt. Zo krijg je automatisch sterke wachtwoorden per account en per host, en security ops kan natuurlijk elke login monitoren. Het is weer een extra laag beveiliging.

[Reactie gewijzigd door Bergen op 28 augustus 2025 14:30]

dezejongeman 28 augustus 2025 13:35

hier wat meer achtergrond info:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a

Walrave 28 augustus 2025 13:48

Even voor de duidlijkheid: Chinese hackersgroepering Salt Typhoon die door de Chinese Ministry of State Security bestuurd wordt. Wikipedia: Salt Typhoon

DutchieSmokah 28 augustus 2025 21:51

Hmm, dit verbaast me niets.

Ongeveer zeven jaar geleden ontdekte ik dat mijn (kleine, lokale) kabelprovider op dat moment nog oude Motorola DOCSIS 3.0-modems uitgaf, waarbij het MAC-adres werd gebruikt om het wachtwoord van de rootgebruiker te genereren. Zodra ik roottoegang had, ben ik gaan onderzoeken hoe hun provisioning in elkaar zat. Zo belandde ik uiteindelijk op een oude Windows-server (vol met bekende kwetsbaarheden) met een hostname waaruit bleek dat deze onderdeel was van hun backoffice-omgeving. Deze server was verder wel alleen vanuit hun (ring) netwerk te benaderen.

Toen ik contact met hen opnam om ze hierover te informeren (en nee, ze hadden destijds geen beleid voor responsible disclosure), bleek dat ik beter eerst een advocaat had kunnen inschakelen. Ik had nog nooit zo'n vijandige houding meegemaakt; normaal gesproken reageren partijen juist blij als ik hen (gratis zonder enige verwachting!) help met het vinden van kwetsbaarheden.

Wat me daarnaast echt schokte, was hoe onprofessioneel niet alleen hun houding, maar ook hun technische infrastructuur was. Het was, en is, een zeer kleine speler in Nederland, waarschijnlijk met weinig middelen om de boel goed op orde te krijgen.

Sindsdien bespaar ik niet meer op internetproviders en kies ik liever voor een partij als Ziggo of KPN; hoewel dat natuurlijk ook geen waterdichte garantie is. 😉

PS KPN had hun complete backoffice voor KPN mobile in het verleden (misschien nog steeds?) ook uitbesteed aan Huawei (met een hele hoop Chinezen op een eigen verdieping)...just saying ;-) (Overigens is dit geen xenofobe opmerking, maar als organisatie die gevestigd is in een land met een autoritair regime, heb je vaak weinig keus: je moet wel samenwerken met de politieke macht. (zie bijvoorbeeld hoe zelfs een Tim Cook tegenwoordig Trump zit te paaien)..

[Reactie gewijzigd door DutchieSmokah op 28 augustus 2025 22:04]

Beveiliging en antivirus
Nederland
Hack

@DutchieSmokah • 29 augustus 2025 07:03

PS KPN had hun complete backoffice voor KPN mobile in het verleden (misschien nog steeds?) ook uitbesteed aan Huawei (met een hele hoop Chinezen op een eigen verdieping)...just saying ;-)

De hele telecomwereld gaat hard die kant op. Ze kopen Chinese apparatuur want die is goedkoop en ze besteden het beheer uit aan de fabrikant, dat is immers de expert. Die fabrikant is een Chinees bedrijf die het beheer laat doen door Chinese medewerkers en het liefst vanuit China.

Als wij het beheer niet zelf doen verdwijnt alle kennis hier en al vrij snel kun we niet anders meer dan het beheer uitbesteden. Dan kan de politiek hoog van de toren blazen over het niet kopen van Chinese apparatuur of het stimuleren van Europese bedrijven, maar als er hier niks en niemand meer is, of het is veel duurder, dan kopen we toch weer het Chinese spul, desnoods via een omweg.

Graaffie1992 28 augustus 2025 13:21

Welke providers betreft dit?

Hack
Beveiliging en antivirus
Nederland

@Graaffie1992 • 28 augustus 2025 13:42

Dat zullen klanten van dit soort kleine providers kennelijk zelf moeten navragen bij hun provider. Tenzij die providers zelf gaan verkondigen dat hun netwerk niet veilig genoeg bleek, maar daar zijn bedrijven meestel publiek niet open over.

CH4OS @kodak • 28 augustus 2025 13:52

Maar bedrijven hebben met de komst van de GDPR (en in NL dus de AVG) wel de plicht om datalekken te melden. Dus als er al er een inbreuk is geweest en je weet niet 100% zeker welke data gestolen is, heb je ook de plicht om het datalek te melden.

Niemand_Anders @CH4OS • 28 augustus 2025 14:17

In het artikel staat dat zij op zoek waren naar Amerikaanse providers. Het is dus mogelijk dat ze wel zijn binnengekomen, maar uiteindelijk niets hebben meegenomen. Als ze niets meenemen, is er geen datalek, dus ook geen meldplicht. Theoretisch zouden ze in dat geval nu een bericht kunnen sturen naar die providers dat ze een exploit hebben gevonden (responsible disclosure) en dan zijn het ineens security experts welke in opdracht van de Chinese overheid bezig zijn om het internet iets veiliger te maken...

jdh009 @Niemand_Anders • 28 augustus 2025 16:06

In het artikel staat dat zij op zoek waren naar Amerikaanse providers. Het is dus mogelijk dat ze wel zijn binnengekomen, maar uiteindelijk niets hebben meegenomen. Als ze niets meenemen, is er geen datalek, dus ook geen meldplicht

Volgens de AVG (art. 4 lid 12) is er al sprake van een datalek zodra er ongeoorloofde toegang is tot persoonsgegevens, ook als er niets “meegenomen” wordt. Het probleem is dat je in de praktijk bijna nooit met 100% zekerheid kunt bewijzen dat er geen inzage of kopie heeft plaatsgevonden, en precies daarom schrijft art. 33 AVG een meldplicht aan de toezichthouder voor. Stellen dat “als ze niets meenemen, is er geen datalek” is dus juridisch onjuist en in mijn ogen een vrij kwalijke mindset.

Theoretisch zouden ze in dat geval nu een bericht kunnen sturen naar die providers dat ze een exploit hebben gevonden (responsible disclosure) en dan zijn het ineens security experts welke in opdracht van de Chinese overheid bezig zijn om het internet iets veiliger te maken...

Dat is 'theoretisch' al zo lek als een mandje... er worden al diverse wetten overtreden en zonder opdracht is het ook bij white hats geen 100% veilig scenario.

Hack
Beveiliging en antivirus
Nederland

@CH4OS • 28 augustus 2025 16:03

De vraag is niet of iemand weet om welke providers het gaat maar welke het zijn. De organisaties die het weten kunnen en mogen dat meestal niet zomaar algemeen bekend maken.

Klanten kunnen natuurlijk ook moeite doen om bijvoorbeeld aan de toezichthouder te melden dat hun kleine provider mogelijk een van de providers is die een datalek heeft omdat ze niet geïnformeerd worden in de hoop antwoord te krijgen, maar ik vermoed dat de toezichthouder dat niet laat weten. Eerder dat die verwijst om als klant maar contact op te nemen met de provider.

watercoolertje @Graaffie1992 • 28 augustus 2025 13:22

Staat in het artikel waarom je vraag (op dit moment) geen antwoord op gaat leveren

Het gaat volgens de inlichtingen- en veiligheidsdiensten niet om grote telecomproviders, maar om 'kleinere internetservice- en hostingproviders'. Specifieke namen worden niet genoemd.

[Reactie gewijzigd door watercoolertje op 28 augustus 2025 13:23]

SlasZ 28 augustus 2025 13:35

Op 23 juli werd POST Luxembourg ook gehackt, een van de grootste landelijke providers die ook gebruikt wordt voor noodnummers. Gedurende 3-4u was er geen 4G/5G van POST in gans Luxemburg alsook geen vast internet.

Reden was een gehackte Huawai router (een of meerdere) via een zero-day exploit: Post Luxembourg outage caused by ‘a targeted cyberattack’, firm confirms | Luxembourg Times

[Reactie gewijzigd door SlasZ op 28 augustus 2025 13:40]

fuzzyIon 28 augustus 2025 14:33

Dit is geen op zichzelf staand fenomeen. State-sponsored cyberactiviteiten van China zijn wijdverspreid:

In Denemarken werden telecomnetwerken doelwit van Chinese APT-groepen Wikipedia.
Finland onthulde in 2021 dat APT31 het parlement had geïnfiltreerd Wikipedia.
Frankrijk zag recent dat parlementsleden werden belaagd door dezelfde groepen Wikipedia.

Nederland hoort dus bij een club staten die structureel op de radar staan voor cyberverkenning en – zoals blijkt – voor daadwerkelijke penetratiepogingen.

Om te kunnen reageren moet je ingelogd zijn