KPN's SwitchPoint Incasso-site bezocht door hacker

In de nacht van dinsdag op woensdag is de indexpagina van KPN’s SwitchPoint-site gehackt, zo lezen we op WebWereld. Er is een zogenaamde deface uitgevoerd door cracker MaTrIzz, die de indexpagina heeft vervangen door een eigen pagina met daarop de tekst “Kernel_Attack Ownz You BOX By: MaTrIzz". De indexpagina staat op de server die ook verantwoordelijk is voor het verwerken van de afmeldingen voor SwitchPoint Incasso. KPN benadrukt dat de klantendatabase niet door derden is binnengedrongen. SwitchPoint Incasso is een systeem waarmee gebruikers online kunnen kopen tot een bedrag van drieduizend euro; het invullen van een telefoonnummer en rekeningnummer is voldoende om het bedrag te laten afschrijven.

KPN De dienst staat standaard aangeschakeld bij elke KPN-klant en deze moet zich hiervoor expliciet afmelden. Critici vreesden bij de lancering van de dienst al dat het gemak van deze betaalwijze fraude zou uitlokken, na de hack is deze vrees enkel vergroot. Vorige maand werden er door de Socialistische Partij zelfs kamervragen gesteld over de KPN-dienst. De partij vroeg de minister van Economische Zaken of het niet beter zou zijn als de dienst opt-in zou zijn in plaats van het huidige opt-out, minister Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.

Lees meer

IT-banen

Reacties (161)

GeeBee 9 september 2004 16:06

minister Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.

Ik vraag we af hoeveel niet-tweakers het überhaupt wéten dat Switchpoint ingeschakeld is...

OK, net ff te langzaam, er zijn er hier meer die er zo over denken

AFMELDEN VIA
http://stats.switchpoint.com/kpnincassoblock/Afmelden.aspx

Mick @GeeBee • 9 september 2004 17:36

Ik vraag we af hoeveel niet-tweakers het überhaupt wéten dat Switchpoint ingeschakeld is..

Ik ben ook zo'n Tweakert die 't vóór het lezen van dit bericht niet wist...

Ik vraag me af of Brinkhorst wel eens van IP spoofing heeft gehoord (zou een leuke Kamervraag zijn geweest

). Als je daar slachtoffer van zou worden omdat je bv.
1) niet van Switchpoint gehoord had
2) de KPN site onvoldoende beveiligd is
3) je geen vuurmuur/router hebt
(hoewel kennis van je IP-adres al genoeg kan zijn)
dan vermoed ik dat KPN vindt dat het je eigen schuld is (en dus je eigen risico), terwijl dit door een simpele opt-in voorkomen had kunnen worden.

Het natuurlijk onzinnig dat KPN beweert dat men om fraude te plagen de draden uit de grond moet trekken. Dat is gewoon pure misleiding, omdat je met IP-spoofing (of war-driving bij WiFi) de Switchpoint-site kan laten denken dat die 'draad' er loopt.

Brinkhorst wil volgens mij die 'nieuwe economie' té graag op gang vijzelen (z'n koppigheid bij die softwarepatenten is IMO van het zelfde laken een pak). Maar het feit dat hier zoveel mensen zich direct gaan afmelden (ik ook) betekent gewoon dat mensen het zaakje (nog) niet vertrouwen en volgens mij is dat vooralsnog volkomen terecht.

Vorlon @Mick • 9 september 2004 22:44

Wardriving > Ja, dat werkt inderdaad (als je ook het bankrekening nummer hebt.)

IP-Spoofing is een ander verhaal. Ik weet niet of er een actieve check wordt gedaan waar die aanvraag vandaan komt . Zo nee zou je als je alle gegevens van een kpn klant hebt wel een heel eind kunnen komen met ip-spoofing. (dwz als je spoofed een match van ip-adres, rekeningnummer en klantnaam.)

Naja, we kunnen iig als tweakers zijnde wel stellen dat dat systeem lang niet waterdicht is. >> uitzetten dus.

TheOneLLama @Vorlon • 10 september 2004 03:28

Of nog simpeler, je stuurt een of andere trojan naar de gemiddelde gebruiker met een gemiddelde outlook express. Zodra dat ding zich zonder mede weten van die gebruiker geinstalleerd heeft, kun je alles doen wat je wilt. IP uitvinden is geen probleem, bankrekening nummer is vast ook wel ergens op die PC te vinden, en klaar..

BreeeZe @Mick • 9 september 2004 18:29

- verwijderd -
--- ik moet leren lezen voordat ik post ---

carnager @GeeBee • 9 september 2004 16:12

Vermoeddelijk wordt het ze pas duidelijk enige tijd na de eerste telefoonrekening te hebben ontvangen waar deze onbekende post op vermeld staat met een ongetwijfeld exhorbitant hoog bedrag ernaast..

arbraxas @carnager • 9 september 2004 20:40

Sterker nog ik werk voor de KPN (via een aannemer dan) en wist niet eens dat t bestond.

Lekker dat me rekening zomaar opengegooid word via de telefoon. Weer typisch nederland rijd je 4 km te hard krijg je een bon maar zomaar iemands bankrekening opengooien zonder zijn toestemming mag wel.

wica @GeeBee • 9 september 2004 16:38

Als sommige tweakers zoals ik het al nuet weten. Dan vraag ikme echt af. Of niet tweakers hert weten.

Ps. hoe moet je deze dienst gebruiken?

cutter 9 september 2004 16:06

http://www.tjallingkuipers.nl/?page=klipping deze pagina zegt meer dan ik hier kan posten.

2bme @cutter • 9 september 2004 16:34

Sorry hoor... maar op die site staat dus dat het gevaarlijk is... en hoe kan je je afmelden?
Door juist die gegevens in te sturen... die het mogelijk maken om jouw bankrekening te plunderen

* uw naam (KPN contract eigenaar)
* uw telefoonnummer (in geval van ISDN: het hoofdnummer van uw contract: verzoekt u meteen de bijbehorende andere nummers ook te blokkeren)

RwD @2bme • 9 september 2004 16:50

Op die site zegt hij er bij dat alhoewel kpn er om vraagt je dat niet moet doen omdat dat nou precies is wat we willen voorkomen...

Sendy @2bme • 9 september 2004 20:34

Als ik jouw post zo lees lijkt het me dat je het veld bankrekening mist?

EdwinG @Sendy • 9 september 2004 22:24

Ik weet niet waar je dan heen gegaan bent, maar het enig om de dienst af te melden is het telefoonnummer.

Motrax @cutter • 9 september 2004 16:22

/ot
Wow... die gozer gaat bekend worden met zijn site... zit erg goed in elkaar (lay-out + inhoudelijk). Jammer dat hij op sommige punten wel erg fanatiek bezig is, maar hij heeft wel gelijk.

Hmm... ik ga maar eens mijn ouders inlichten.

Verwijderd 9 september 2004 16:08

Ok, zo'n hackertje moet gepakt en opgehangen worden, maar... wat ontzettend STOM van de KPN dat ze zich laten hacken, notabene de site van iets waarover al eens kamervragen zijn geweest i.v.m. security. Je zou denken dat er je dan als KPN alles aan gelegen is de boel secure te maken, en dat als een bedrijf als de KPN (toch niet de eerste de beste) als doelstelling heeft iets secure te maken, dat het dan ook secure is.

Niet dus. Wat een prutsers. Dat de klantendatabase niet gehacked is doet hier niets aan af, een 'man-in-the-middle' attack wordt wel erg makkelijk als die niet in het midden, maar vooraan kan zitten.

Overigens ERG dubieus dat dit systeem is ingevoerd via een opt-out. Ik wist ook niet dat het bestond, en ga me direct afmelden.

//edit

oh, het gaat hier over clipping. Ik zit bij XS4all, daar staat het default uit.. misschien handig om te weten. Xs4all was de enige provider die het domweg niet zomaar aan wilde hebben. Dat is nu zo'n voorbeeld waarom het de beste ISP van NL is.

kamerplant @Verwijderd • 9 september 2004 18:11

Ophangen? Blaat eens even niet zo dom.
We zijn deze hacker best wel veel dankbaar. Zonder hem of haar zou iedereen (ISPs, KNP, overheid) onterecht vertrouwen hebben in deze niet zo slimme dienst, die dubbel onveilig blijkt te zijn ook.

'Hackers' die DDoS attacks doen zijn enzo zijn lame, dit soort hackers zijn eerder helden.
Ik ben overigens blij dat er in Nederland toch één ISP is die het begrijpt, Xs4all.

Verwijderd @kamerplant • 9 september 2004 23:48

Blaat jij even niet zo dom. Een hacker dankbaar zijn, komop zeg.

Jij bedankt de dief dus ook die jouw fiets steelt als je hem per ongeluk niet op slot hebt gezet? Of je portomonaie jat als je even niet oplet?

DDoS attacks is wel het laagste van het laagste, maar een defacement komt er dichtbij. De helden waar jij het over hebt, zijn de mensen die het melden zonder iets te vernaggelen. Niet dit soort knapen die 'ik owns' op je site zetten.

Verwijderd @Verwijderd • 10 september 2004 17:11

Beste hezik, ik hoop dat je begrijpt wat voor gevaar we lopen, en zonder die hacker kunnen we dat niet aantonen. In deze moderne tijden is er GEEN ANDERE methode om het DUIDELIJK te maken.

Omdat je zo gemeen op die hacker afreageerd,...

LET OP! Het ondervangen van een KPN acceptgiro is VOLDOENDE om 3000 EURO per dag af te schrijven.

Verwijderd @Verwijderd • 10 september 2004 20:43

In deze moderne tijden is er GEEN ANDERE methode om het DUIDELIJK te maken.

Quats, het is gewoon te argumenteren, zoals bv. Tjalling doet. Het probleem zit 'm niet in het al dan niet aantonen of het onveilig is, het probleem zit 'm in de betreffende personen ervan te overtuigen dat we dit domweg niet willen.

Overigens wordt bovenstaande redenatie ook door terroristen gebruikt. Het is de enige manier. Onzin.

kodak

Bedrijfsnieuws

@Verwijderd • 9 september 2004 16:28

Je zou denken dat er je dan als KPN alles aan gelegen is de boel secure te maken, en dat als een bedrijf als de KPN (toch niet de eerste de beste) als doelstelling heeft iets secure te maken, dat het dan ook secure is.

Veiligheid rond bescherming van persoonsgegevens is bij KPN al jaren niet waar ze het beste mee overweg willen kunnen. Het is typisch de houding van een groot bedrijf met veel economische macht. Als ze het willen doen ze het gewoon op hun manier en zien later wel of er tegen wordt opgetreden. Aangezien ze Brinkhorst en EZ al achter zich hebben staan rond goedkeuring van de huidige insteek is het belang dat ze veilig moeten werken niet echt toegenomen.

Nog zo'n voorbeeld: als je wilde weten welk telefoon abonnement je buren of kennisen hebben en of ze veel bellen kon je sinds begin deze maand handig de beltest gebruiken. Even simpel het telefoonnummer van iemand in tikken en de gegevens kwamen eruit rollen. KPN reageerde in eerste instantie laconiek: "het is voor het gemak van de klant, de beveiliging is dat je het maar een paar keer mag gebruiken per paar uur." Afmelden kon niet. Door grote druk achter de schermen door belangenorganisaties rond privacy heeft KPN de beltest nu eindelijk weer weggehaald. Maar het geeft goed aan dat het KPN niet om de veiligheid gaat maar het gemak en uiteindelijk het geld wat ze er zelf mee kunnen verdienen.

n4m3l355

Bedrijfsnieuws

@kodak • 9 september 2004 16:57

veiligheid rond bescherming van persoonsgegevens is bij KPN al jaren niet waar ze het beste mee overweg willen gaan.

kan aan mij liggen maar hoevaak komt KPN in het nieuws dat hun gegevens gestolen zijn? dit is voor het eerste dat hun servers gehacked zijn althans dat ik ervan hoor. er zijn heel wat grotere bedrijven gehacked waar ook daadwerkelijk gegevens gejat zijn geworden.
verder is enkel de site ge-defaced verder is er niets gebeurd. logischer wijs hebben ze achter de site nog wel een sql-clustertje draaien en is de hacker daar dus niet aangekomen. ik denk dat dit ook maar heel weinig zegt. misschien heeft de hacker enkel een bug in apache ge-exploit? maw dit zegt maar weinig over de veiligheid zelf.
wat trouwens wel grappig is [FP-Admin] Link verwijderd wegens Layout problemen [/FP-Admin]
het zijn dus een zooitje brazilianen die steeds defacen en ook steeds hetzelfde type server aanvallen. naar mijn idee hebben ze dus kennis van 1 specifieke exploit die na een simepele update wel verholpen is.

Verwijderd @n4m3l355 • 9 september 2004 23:49

Dat ze niet bij die cluster gekomen zijn, zegt exact 0,0.

Je hoeft de database niet te hacken, als je het scherm waarop mensen gegevens opvragen/ingeven etc. kunt hacken. Je hoeft geen stinkbom ik het restaurant te gooien, als je ook de deur dicht kunt lassen.

Dxue @Verwijderd • 9 september 2004 16:21

hoeft niet perse, als de hacker alleen maar wilde laten zien hoe dom/stom/idioot/(noem het maar op) kpn wel niet is en al die partijen die achter kpn staat. Als ik het kon had ik het ook gedaan om ze ff met hun beide benen weer op de grond te zetten. Als ze zelf al zeggen dat het niet 100% veilig is, dan maak je het toch niet opt-out!

Verwijderd 9 september 2004 18:10

Ik woon in een studentenhuis, en wij beschikken allemaal over een internet en telefoonverbinding op naam van de huurbaas. Ook maken wij de huur over op zijn bankrekeningnummer.
Wij kunnnen nu dus voor 3000 € gaan funshoppen?

Jace / TBL @Verwijderd • 9 september 2004 18:15

Precies. Jij snapt het

TD-er

@Verwijderd • 9 september 2004 18:25

3000 euro per keer, er zit geen maximum aan per maand.
Dit is voor een oplichter nog beter dan een creditcard.

0fbe 9 september 2004 16:05

Tijd dat ze daar eens nieuwe IT-ers aannemen die wel kunnen beveiligen zeker als er geld om gaat in zo'n website

Bobco @0fbe • 10 september 2004 08:43

Was het datacenter van KPN niet overgenomen door Atos Origin een poosje geleden?

Verwijderd @Bobco • 10 september 2004 09:27

Nee, dan komt het wel goed

Nielson 9 september 2004 16:07

De partij vroeg de minister van Economische Zaken of het niet beter zou zijn als de dienst opt-in zou zijn in plaats van het huidige opt-out, minister Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.

Dan moet de klant zich er wel eerst van bewust zijn dan dat 'ie standaard staat aangemeld.

/edit: Goh, wat veel dezelfde reacties

Verwijderd 9 september 2004 16:07

Ik wist niet eens van het bestaan af, en nu bljkt dat ik over een betaalservice beschik waar ik niet om heb gevraagd en waar anderen mogelijk misbruik van kunnen maken

Fijne actie van KPN, past lekker in het rijtje samen met het verkwanselen van mijn privégegevens.

Edit: En kennelijk ben ik niet de enige!

Guidance 9 september 2004 16:26

NIET AFMELDEN VIA SWITCHPOINT ZELF.

Het is verstandiger om via Tjalling Kuipers een 'standaardmailtje' naar het info@switchpoint.nl account te sturen. Hierbij MOET je NIET je bankrekeningnummer meesturen. Dit is namelijk helemaal niet nodig.

Ik heb inmiddels (sinds de vorige post over Switchpoint enkele weken geleden) ook een klacht liggen bij de OPTA, bij KPN zelf en bij de AFM (welke toezicht houdt op de nederlands betalingsverkeer etc)

Ik heb inmiddels voor vele 'non-tweakers' in mijn omgeving de opzeggen verwerkt en probeer zoveel mogelijk mensen hiervan op de hoogte te brengen. Advies.....doe hetzelfde.

Guidance.

gatlarf 9 september 2004 19:32

KPN is trouwens niet het enige slachtoffer. Zie ook:
http://www.adnetwork.nu/
http://www.candyrus.com/index.html
http://www.delta5.com.br/mirror/2004/09/01/www.kdia.or.kr/

En zo kan je er nog wel wat vinden via Google. Bezig bijtje die MaTrIzz.

dasiro 9 september 2004 16:07

Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.

nu weet ik niet hoe goed de nederlandse 80plussers het er van af brengen qua nieuwe technologieën, maar mijn grootmoeder wiens pensioen op de rekening wordt gezet heeft nog nooit een computer gezien, laat staan dat ze weet zou hebben van zo'n ding, die nieuwe dienst én weet hoe ze moet opt-outen (dat begrip uitleggen aan haar uitleggen zou ze zelfs niet overleven).

Verwijderd @dasiro • 9 september 2004 16:14

Als ze nog nooit een computer heeft gezien, kan ze ook geen switchpoint hebben, aangezien dat een combinatie van naam+telefoon+IP is. Zonder computer geen internetabbo geen switchpoint.

TD-er

@Verwijderd • 9 september 2004 18:07

dat is niet waar, want je kunt ook "switchpointen" vanaf je gewone telefoon door een nummer te bellen.
Laten de gemiddelde oudjes vaak nou juist een oude niet beveiligde draadloze telefoon hebben.
Maar goed, volgens die omhooggevallen Brinkhorst zit het allemaal wel goed met de beveiliging, dus het zal wel meevallen dan he, hij word betaald om dat te weten.

Verwijderd @TD-er • 9 september 2004 18:31

Van de officiele site:

SwitchPoint Incasso is een nieuwe betaalmethode van KPN voor betalingen op Internet.

Het gaat hier niet over SwitchPoint Modem/Telefoon/Mobile/Ticket/Creditcard/SMS, maar over Incasso. Die is het gevaarlijkst en ook direct het duurst: Bij de anderen betaal je een tarief per minuut om pay-sites op te komen, of gaat het om kleine bedragen, of moet je andere gegevens aan KPN verstrekken, die dan als tussenpersoon functioneert, zodat je niet aan allerlei vage sites je creditcard nummer hoeft te geven.

En als er zomaar mensen via jou telefoonaansluiting kunnen bellen, moet je jezelf toch eens achter de oren gaan krabben.

thegve @TD-er • 9 september 2004 22:05

en laten we niet al te negatief doen. De oudjes die ik zo ken hebben een DECT telefoon of een bedrade telefoon. Uiteraard van philips of sony..

dasiro @TD-er • 9 september 2004 23:39

tuurlijk niet, maar vraag ze maar eens om uit te leggen wáárom ze een DECT hebben

9 kansen op 10 dat je een uitleg krijgt à la "die vriendelijke lieve jongen van de telefoonwinkel zegt dat dit de beste was voor mij".

1 kans op 10 dat je dit aan een cyberbomma vraagt die jou nog versteld laat staan van wat ze weet

Verwijderd @Verwijderd • 9 september 2004 19:57

kan ze ook geen switchpoint hebben, aangezien dat een combinatie van naam+telefoon+IP is

Dat klopt niet. De identificatie bestaat uit de combinatie telefoonnummer + bank/giro nummer, waarbij de laatste dezelfde is waarmee je je telefoonrekening betaalt.
Dit kan dus vanaf elke willekeurige computer.

Aangezien veel mensen één betaalrekening hebben, is het vrij makkelijk om deze combinatie te achterhalen.

thegve @Verwijderd • 9 september 2004 22:07

ik snap het nog niet helemaal, maar volgens mij verifieerd kpn of je van de aansluiting internet waarvan je zegt dat je het doet. Via hun informatie van dat dingetje dat hier onder de stoep begraven ligt(die ene die ook wel een naam heeft)
edit:

Gepost door movemoor - donderdag 9 september 2004 - 17:16 Score: 2 (Informatief)
Ja dat staat hier ook al een tijdje.

Klipping.nl zegt trouwens:

Klipping op deze computer
Via de Klipping technologie is bepaald dat onze techniek nog niet beschikbaar is op de computer waar u nu mee werkt. De bijna twee miljoen huishoudens die via ADSL of een inbelverbinding van KPN internetten, kunnen direct gebruik maken van de Klipping techniek

ymmv @dasiro • 9 september 2004 17:06

ff off-topic maar deze taalfout wordt zo vaak gemaakt dat ik het toch verbeter..

je grootvader WIENS pensioen wordt overgemaakt

maar

je grootmoeder WIER pensioen wordt overgemaakt

en

je grootouders WIER pensioen wordt overgemaakt

Verwijderd @ymmv • 9 september 2004 21:21

omfg, [WHG]Dentist is terug ofzo?

Op dit item kan niet meer gereageerd worden.

KPN's SwitchPoint Incasso-site bezocht door hacker

Lees meer

IT-banen

Reacties (161)

Sorteer op:

Weergave: