De gegevens die hackers vrijdag online zetten, komen waarschijnlijk niet uit een gehackte server van KPN, maar zijn mogelijk in 2010 bij Baby-dump.nl gestolen. Eind vorig jaar meldde Tweakers.net al dat deze webwinkel onveilig was geweest.
KPN ontkende aanvankelijk dat er klantgegevens buitgemaakt zijn bij de hack die woensdag bekend werd, al lieten de hackers weten 16GB aan data te hebben bemachtigd, maar deze vernietigd te hebben. Tegenover Nu.nl ontkent de hacker nu opnieuw iets met de publicatie van inloggegevens van mailaccounts van de provider te maken te hebben: "Dat willen we niet en is fout".
De site meldt dat de KPN-klantgegevens die vrijdag werden gepubliceerd, overeen komen met die uit een database die niet van KPN is. Het zou om een database van Baby Dump, een verkoper van baby-artikelen, gaan, waarbij alleen de mailadressen van KPN-klanten zijn gefilterd.
"Het lijkt erop dat het bij ons vandaan komt, maar zeker is het niet", vertelt een woordvoerder van Baby Dump tegen Nu.nl. De velden in de door de hacker gepubliceerde data komen qua volgorde wel precies overeen met de opbouw van het registratieformulier van Baby Dump.
Waarschijnlijk gaat het om data uit 2010 maar het blijkt lastig om dit te verifiëren omdat Baby Dump recent zijn systeem heeft bijgewerkt om lekken tegen te gaan. In november vorig jaar werden diverse lekken in meerdere webwinkels ontdekt, waaronder in de website van Baby Dump. In reactie op die onthulling, stelde Thuiswinkel.org eerder al tegenover Tweakers.net webwinkels te willen laten controleren op sql-injection- en xss-lekken met behulp van kant-en-klare tools.
Eerder deze week onthulde Tweakers.net dat de hackers die inbraken bij KPN mogelijk ook hebben ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren. Mogelijk ging het om een zero day: een exploit die nog niet bekend was.