Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 161 reacties
Bron: WebWereld

In de nacht van dinsdag op woensdag is de indexpagina van KPN’s SwitchPoint-site gehackt, zo lezen we op WebWereld. Er is een zogenaamde deface uitgevoerd door cracker MaTrIzz, die de indexpagina heeft vervangen door een eigen pagina met daarop de tekst “Kernel_Attack Ownz You BOX By: MaTrIzz". De indexpagina staat op de server die ook verantwoordelijk is voor het verwerken van de afmeldingen voor SwitchPoint Incasso. KPN benadrukt dat de klantendatabase niet door derden is binnengedrongen. SwitchPoint Incasso is een systeem waarmee gebruikers online kunnen kopen tot een bedrag van drieduizend euro; het invullen van een telefoonnummer en rekeningnummer is voldoende om het bedrag te laten afschrijven.

KPNDe dienst staat standaard aangeschakeld bij elke KPN-klant en deze moet zich hiervoor expliciet afmelden. Critici vreesden bij de lancering van de dienst al dat het gemak van deze betaalwijze fraude zou uitlokken, na de hack is deze vrees enkel vergroot. Vorige maand werden er door de Socialistische Partij zelfs kamervragen gesteld over de KPN-dienst. De partij vroeg de minister van Economische Zaken of het niet beter zou zijn als de dienst opt-in zou zijn in plaats van het huidige opt-out, minister Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.

Moderatie-faq Wijzig weergave

Reacties (161)

1 2 3 ... 7
http://www.tjallingkuipers.nl/?page=klipping deze pagina zegt meer dan ik hier kan posten. :)
Sorry hoor... maar op die site staat dus dat het gevaarlijk is... en hoe kan je je afmelden?
Door juist die gegevens in te sturen... die het mogelijk maken om jouw bankrekening te plunderen |:(
* uw naam (KPN contract eigenaar)
* uw telefoonnummer (in geval van ISDN: het hoofdnummer van uw contract: verzoekt u meteen de bijbehorende andere nummers ook te blokkeren)
Als ik jouw post zo lees lijkt het me dat je het veld bankrekening mist?
Ik weet niet waar je dan heen gegaan bent, maar het enig om de dienst af te melden is het telefoonnummer.
Op die site zegt hij er bij dat alhoewel kpn er om vraagt je dat niet moet doen omdat dat nou precies is wat we willen voorkomen...
/ot
Wow... die gozer gaat bekend worden met zijn site... zit erg goed in elkaar (lay-out + inhoudelijk). Jammer dat hij op sommige punten wel erg fanatiek bezig is, maar hij heeft wel gelijk.

Hmm... ik ga maar eens mijn ouders inlichten.
minister Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.
Ik vraag we af hoeveel niet-tweakers het überhaupt wéten dat Switchpoint ingeschakeld is...

OK, net ff te langzaam, er zijn er hier meer die er zo over denken ;)

AFMELDEN VIA
http://stats.switchpoint.com/kpnincassoblock/Afmelden.aspx
Ik vraag we af hoeveel niet-tweakers het überhaupt wéten dat Switchpoint ingeschakeld is..
Ik ben ook zo'n Tweakert die 't vóór het lezen van dit bericht niet wist...

Ik vraag me af of Brinkhorst wel eens van IP spoofing heeft gehoord (zou een leuke Kamervraag zijn geweest ;)). Als je daar slachtoffer van zou worden omdat je bv.
1) niet van Switchpoint gehoord had
2) de KPN site onvoldoende beveiligd is
3) je geen vuurmuur/router hebt
(hoewel kennis van je IP-adres al genoeg kan zijn)
dan vermoed ik dat KPN vindt dat het je eigen schuld is (en dus je eigen risico), terwijl dit door een simpele opt-in voorkomen had kunnen worden.

Het natuurlijk onzinnig dat KPN beweert dat men om fraude te plagen de draden uit de grond moet trekken. Dat is gewoon pure misleiding, omdat je met IP-spoofing (of war-driving bij WiFi) de Switchpoint-site kan laten denken dat die 'draad' er loopt.

Brinkhorst wil volgens mij die 'nieuwe economie' té graag op gang vijzelen (z'n koppigheid bij die softwarepatenten is IMO van het zelfde laken een pak). Maar het feit dat hier zoveel mensen zich direct gaan afmelden (ik ook) betekent gewoon dat mensen het zaakje (nog) niet vertrouwen en volgens mij is dat vooralsnog volkomen terecht.
Wardriving > Ja, dat werkt inderdaad (als je ook het bankrekening nummer hebt.)

IP-Spoofing is een ander verhaal. Ik weet niet of er een actieve check wordt gedaan waar die aanvraag vandaan komt . Zo nee zou je als je alle gegevens van een kpn klant hebt wel een heel eind kunnen komen met ip-spoofing. (dwz als je spoofed een match van ip-adres, rekeningnummer en klantnaam.)

Naja, we kunnen iig als tweakers zijnde wel stellen dat dat systeem lang niet waterdicht is. >> uitzetten dus.
Of nog simpeler, je stuurt een of andere trojan naar de gemiddelde gebruiker met een gemiddelde outlook express. Zodra dat ding zich zonder mede weten van die gebruiker geinstalleerd heeft, kun je alles doen wat je wilt. IP uitvinden is geen probleem, bankrekening nummer is vast ook wel ergens op die PC te vinden, en klaar..
- verwijderd -
--- ik moet leren lezen voordat ik post ---
Vermoeddelijk wordt het ze pas duidelijk enige tijd na de eerste telefoonrekening te hebben ontvangen waar deze onbekende post op vermeld staat met een ongetwijfeld exhorbitant hoog bedrag ernaast.. :S
Sterker nog ik werk voor de KPN (via een aannemer dan) en wist niet eens dat t bestond. :?
Lekker dat me rekening zomaar opengegooid word via de telefoon. Weer typisch nederland rijd je 4 km te hard krijg je een bon maar zomaar iemands bankrekening opengooien zonder zijn toestemming mag wel.
Als sommige tweakers zoals ik het al nuet weten. Dan vraag ikme echt af. Of niet tweakers hert weten.

Ps. hoe moet je deze dienst gebruiken?
Ok, zo'n hackertje moet gepakt en opgehangen worden, maar... wat ontzettend STOM van de KPN dat ze zich laten hacken, notabene de site van iets waarover al eens kamervragen zijn geweest i.v.m. security. Je zou denken dat er je dan als KPN alles aan gelegen is de boel secure te maken, en dat als een bedrijf als de KPN (toch niet de eerste de beste) als doelstelling heeft iets secure te maken, dat het dan ook secure is.

Niet dus. Wat een prutsers. Dat de klantendatabase niet gehacked is doet hier niets aan af, een 'man-in-the-middle' attack wordt wel erg makkelijk als die niet in het midden, maar vooraan kan zitten.

Overigens ERG dubieus dat dit systeem is ingevoerd via een opt-out. Ik wist ook niet dat het bestond, en ga me direct afmelden.

//edit

oh, het gaat hier over clipping. Ik zit bij XS4all, daar staat het default uit.. misschien handig om te weten. Xs4all was de enige provider die het domweg niet zomaar aan wilde hebben. Dat is nu zo'n voorbeeld waarom het de beste ISP van NL is.
Ophangen? Blaat eens even niet zo dom.
We zijn deze hacker best wel veel dankbaar. Zonder hem of haar zou iedereen (ISPs, KNP, overheid) onterecht vertrouwen hebben in deze niet zo slimme dienst, die dubbel onveilig blijkt te zijn ook.

'Hackers' die DDoS attacks doen zijn enzo zijn lame, dit soort hackers zijn eerder helden.
Ik ben overigens blij dat er in Nederland toch één ISP is die het begrijpt, Xs4all. :)
Blaat jij even niet zo dom. Een hacker dankbaar zijn, komop zeg.

Jij bedankt de dief dus ook die jouw fiets steelt als je hem per ongeluk niet op slot hebt gezet? Of je portomonaie jat als je even niet oplet?

DDoS attacks is wel het laagste van het laagste, maar een defacement komt er dichtbij. De helden waar jij het over hebt, zijn de mensen die het melden zonder iets te vernaggelen. Niet dit soort knapen die 'ik owns' op je site zetten.
Beste hezik, ik hoop dat je begrijpt wat voor gevaar we lopen, en zonder die hacker kunnen we dat niet aantonen. In deze moderne tijden is er GEEN ANDERE methode om het DUIDELIJK te maken.

Omdat je zo gemeen op die hacker afreageerd,...


LET OP! Het ondervangen van een KPN acceptgiro is VOLDOENDE om 3000 EURO per dag af te schrijven.
In deze moderne tijden is er GEEN ANDERE methode om het DUIDELIJK te maken.
Quats, het is gewoon te argumenteren, zoals bv. Tjalling doet. Het probleem zit 'm niet in het al dan niet aantonen of het onveilig is, het probleem zit 'm in de betreffende personen ervan te overtuigen dat we dit domweg niet willen.

Overigens wordt bovenstaande redenatie ook door terroristen gebruikt. Het is de enige manier. Onzin.
Je zou denken dat er je dan als KPN alles aan gelegen is de boel secure te maken, en dat als een bedrijf als de KPN (toch niet de eerste de beste) als doelstelling heeft iets secure te maken, dat het dan ook secure is.
Veiligheid rond bescherming van persoonsgegevens is bij KPN al jaren niet waar ze het beste mee overweg willen kunnen. Het is typisch de houding van een groot bedrijf met veel economische macht. Als ze het willen doen ze het gewoon op hun manier en zien later wel of er tegen wordt opgetreden. Aangezien ze Brinkhorst en EZ al achter zich hebben staan rond goedkeuring van de huidige insteek is het belang dat ze veilig moeten werken niet echt toegenomen.

Nog zo'n voorbeeld: als je wilde weten welk telefoon abonnement je buren of kennisen hebben en of ze veel bellen kon je sinds begin deze maand handig de beltest gebruiken. Even simpel het telefoonnummer van iemand in tikken en de gegevens kwamen eruit rollen. KPN reageerde in eerste instantie laconiek: "het is voor het gemak van de klant, de beveiliging is dat je het maar een paar keer mag gebruiken per paar uur." Afmelden kon niet. Door grote druk achter de schermen door belangenorganisaties rond privacy heeft KPN de beltest nu eindelijk weer weggehaald. Maar het geeft goed aan dat het KPN niet om de veiligheid gaat maar het gemak en uiteindelijk het geld wat ze er zelf mee kunnen verdienen.
veiligheid rond bescherming van persoonsgegevens is bij KPN al jaren niet waar ze het beste mee overweg willen gaan.
kan aan mij liggen maar hoevaak komt KPN in het nieuws dat hun gegevens gestolen zijn? dit is voor het eerste dat hun servers gehacked zijn althans dat ik ervan hoor. er zijn heel wat grotere bedrijven gehacked waar ook daadwerkelijk gegevens gejat zijn geworden.
verder is enkel de site ge-defaced verder is er niets gebeurd. logischer wijs hebben ze achter de site nog wel een sql-clustertje draaien en is de hacker daar dus niet aangekomen. ik denk dat dit ook maar heel weinig zegt. misschien heeft de hacker enkel een bug in apache ge-exploit? maw dit zegt maar weinig over de veiligheid zelf.
wat trouwens wel grappig is \[FP-Admin] Link verwijderd wegens Layout problemen \[/FP-Admin]
het zijn dus een zooitje brazilianen die steeds defacen en ook steeds hetzelfde type server aanvallen. naar mijn idee hebben ze dus kennis van 1 specifieke exploit die na een simepele update wel verholpen is.
Dat ze niet bij die cluster gekomen zijn, zegt exact 0,0.

Je hoeft de database niet te hacken, als je het scherm waarop mensen gegevens opvragen/ingeven etc. kunt hacken. Je hoeft geen stinkbom ik het restaurant te gooien, als je ook de deur dicht kunt lassen.
hoeft niet perse, als de hacker alleen maar wilde laten zien hoe dom/stom/idioot/(noem het maar op) kpn wel niet is en al die partijen die achter kpn staat. Als ik het kon had ik het ook gedaan om ze ff met hun beide benen weer op de grond te zetten. Als ze zelf al zeggen dat het niet 100% veilig is, dan maak je het toch niet opt-out!
Ik woon in een studentenhuis, en wij beschikken allemaal over een internet en telefoonverbinding op naam van de huurbaas. Ook maken wij de huur over op zijn bankrekeningnummer.
Wij kunnnen nu dus voor 3000 ¤ gaan funshoppen?
Precies. Jij snapt het }>
3000 euro per keer, er zit geen maximum aan per maand.
Dit is voor een oplichter nog beter dan een creditcard.
Tijd dat ze daar eens nieuwe IT-ers aannemen die wel kunnen beveiligen zeker als er geld om gaat in zo'n website
Was het datacenter van KPN niet overgenomen door Atos Origin een poosje geleden?
Nee, dan komt het wel goed :P
De partij vroeg de minister van Economische Zaken of het niet beter zou zijn als de dienst opt-in zou zijn in plaats van het huidige opt-out, minister Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.
Dan moet de klant zich er wel eerst van bewust zijn dan dat 'ie standaard staat aangemeld.

/edit: Goh, wat veel dezelfde reacties :)
Ik wist niet eens van het bestaan af, en nu bljkt dat ik over een betaalservice beschik waar ik niet om heb gevraagd en waar anderen mogelijk misbruik van kunnen maken :?
Fijne actie van KPN, past lekker in het rijtje samen met het verkwanselen van mijn privégegevens. |:(

Edit: En kennelijk ben ik niet de enige!
NIET AFMELDEN VIA SWITCHPOINT ZELF.

Het is verstandiger om via Tjalling Kuipers een 'standaardmailtje' naar het info@switchpoint.nl account te sturen. Hierbij MOET je NIET je bankrekeningnummer meesturen. Dit is namelijk helemaal niet nodig.

Ik heb inmiddels (sinds de vorige post over Switchpoint enkele weken geleden) ook een klacht liggen bij de OPTA, bij KPN zelf en bij de AFM (welke toezicht houdt op de nederlands betalingsverkeer etc)

Ik heb inmiddels voor vele 'non-tweakers' in mijn omgeving de opzeggen verwerkt en probeer zoveel mogelijk mensen hiervan op de hoogte te brengen. Advies.....doe hetzelfde.

Guidance.
KPN is trouwens niet het enige slachtoffer. Zie ook:
http://www.adnetwork.nu/
http://www.candyrus.com/index.html
http://www.delta5.com.br/mirror/2004/09/01/www.kdia.or.kr/

En zo kan je er nog wel wat vinden via Google. Bezig bijtje die MaTrIzz. :)
Brinkhorst is echter van mening dat de klant voldoende kans heeft om zich af te melden.
nu weet ik niet hoe goed de nederlandse 80plussers het er van af brengen qua nieuwe technologieën, maar mijn grootmoeder wiens pensioen op de rekening wordt gezet heeft nog nooit een computer gezien, laat staan dat ze weet zou hebben van zo'n ding, die nieuwe dienst én weet hoe ze moet opt-outen (dat begrip uitleggen aan haar uitleggen zou ze zelfs niet overleven).
Als ze nog nooit een computer heeft gezien, kan ze ook geen switchpoint hebben, aangezien dat een combinatie van naam+telefoon+IP is. Zonder computer geen internetabbo geen switchpoint.
dat is niet waar, want je kunt ook "switchpointen" vanaf je gewone telefoon door een nummer te bellen.
Laten de gemiddelde oudjes vaak nou juist een oude niet beveiligde draadloze telefoon hebben.
Maar goed, volgens die omhooggevallen Brinkhorst zit het allemaal wel goed met de beveiliging, dus het zal wel meevallen dan he, hij word betaald om dat te weten.
Van de officiele site:
SwitchPoint Incasso is een nieuwe betaalmethode van KPN voor betalingen op Internet.
Het gaat hier niet over SwitchPoint Modem/Telefoon/Mobile/Ticket/Creditcard/SMS, maar over Incasso. Die is het gevaarlijkst en ook direct het duurst: Bij de anderen betaal je een tarief per minuut om pay-sites op te komen, of gaat het om kleine bedragen, of moet je andere gegevens aan KPN verstrekken, die dan als tussenpersoon functioneert, zodat je niet aan allerlei vage sites je creditcard nummer hoeft te geven.

En als er zomaar mensen via jou telefoonaansluiting kunnen bellen, moet je jezelf toch eens achter de oren gaan krabben.
en laten we niet al te negatief doen. De oudjes die ik zo ken hebben een DECT telefoon of een bedrade telefoon. Uiteraard van philips of sony..
tuurlijk niet, maar vraag ze maar eens om uit te leggen wáárom ze een DECT hebben :+

9 kansen op 10 dat je een uitleg krijgt à la "die vriendelijke lieve jongen van de telefoonwinkel zegt dat dit de beste was voor mij".

1 kans op 10 dat je dit aan een cyberbomma vraagt die jou nog versteld laat staan van wat ze weet :+
kan ze ook geen switchpoint hebben, aangezien dat een combinatie van naam+telefoon+IP is
Dat klopt niet. De identificatie bestaat uit de combinatie telefoonnummer + bank/giro nummer, waarbij de laatste dezelfde is waarmee je je telefoonrekening betaalt.
Dit kan dus vanaf elke willekeurige computer.

Aangezien veel mensen één betaalrekening hebben, is het vrij makkelijk om deze combinatie te achterhalen.
ik snap het nog niet helemaal, maar volgens mij verifieerd kpn of je van de aansluiting internet waarvan je zegt dat je het doet. Via hun informatie van dat dingetje dat hier onder de stoep begraven ligt(die ene die ook wel een naam heeft)
edit:
Gepost door movemoor - donderdag 9 september 2004 - 17:16 Score: 2 (Informatief)
Ja dat staat hier ook al een tijdje.

Klipping.nl zegt trouwens:

Klipping op deze computer
Via de Klipping technologie is bepaald dat onze techniek nog niet beschikbaar is op de computer waar u nu mee werkt. De bijna twee miljoen huishoudens die via ADSL of een inbelverbinding van KPN internetten, kunnen direct gebruik maken van de Klipping techniek
ff off-topic maar deze taalfout wordt zo vaak gemaakt dat ik het toch verbeter..

je grootvader WIENS pensioen wordt overgemaakt

maar

je grootmoeder WIER pensioen wordt overgemaakt

en

je grootouders WIER pensioen wordt overgemaakt
omfg, [WHG]Dentist is terug ofzo?
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True