'Mailgegevens KPN-klanten kwamen uit Baby Dump-database'

De gegevens die hackers vrijdag online zetten, komen waarschijnlijk niet uit een gehackte server van KPN, maar zijn mogelijk in 2010 bij Baby-dump.nl gestolen. Eind vorig jaar meldde Tweakers.net al dat deze webwinkel onveilig was geweest.

KPN ontkende aanvankelijk dat er klantgegevens buitgemaakt zijn bij de hack die woensdag bekend werd, al lieten de hackers weten 16GB aan data te hebben bemachtigd, maar deze vernietigd te hebben. Tegenover Nu.nl ontkent de hacker nu opnieuw iets met de publicatie van inloggegevens van mailaccounts van de provider te maken te hebben: "Dat willen we niet en is fout".

De site meldt dat de KPN-klantgegevens die vrijdag werden gepubliceerd, overeen komen met die uit een database die niet van KPN is. Het zou om een database van Baby Dump, een verkoper van baby-artikelen, gaan, waarbij alleen de mailadressen van KPN-klanten zijn gefilterd.

"Het lijkt erop dat het bij ons vandaan komt, maar zeker is het niet", vertelt een woordvoerder van Baby Dump tegen Nu.nl. De velden in de door de hacker gepubliceerde data komen qua volgorde wel precies overeen met de opbouw van het registratieformulier van Baby Dump.

Waarschijnlijk gaat het om data uit 2010 maar het blijkt lastig om dit te verifiëren omdat Baby Dump recent zijn systeem heeft bijgewerkt om lekken tegen te gaan. In november vorig jaar werden diverse lekken in meerdere webwinkels ontdekt, waaronder in de website van Baby Dump. In reactie op die onthulling, stelde Thuiswinkel.org eerder al tegenover Tweakers.net webwinkels te willen laten controleren op sql-injection- en xss-lekken met behulp van kant-en-klare tools.

Eerder deze week onthulde Tweakers.net dat de hackers die inbraken bij KPN mogelijk ook hebben ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren. Mogelijk ging het om een zero day: een exploit die nog niet bekend was.

IT-banen

Reacties (170)

Anoniem: 444898 11 februari 2012 21:52

Ik ben 1 van de 537 die op de lijst op pastebin staat. De lijst is nog steeds voor iedereen te benaderen en via google te vinden. Ik heb inderdaad spullen via babydump besteld en m'n wachtwoord komt overeen met hetgeen ik daar gebruik heb en is niet hetzelfde als m'n wachtwoord bij KPN. Nu mijn gegevens zo op straat liggen, heb ik dan recht op een schadevergoeding van babydump?

Twpk @Anoniem: 444898 • 11 februari 2012 22:00

Ach gossie, helemaal voor niets die gebruikersnaam aangemaakt. Wat dacht je, als er niets te halen valt bij KPN dan gaan we het bij Babydump proberen? Heb je schade geleden door dit 2 jaar oude data lek? Nee? Wat zou er dan vergoed moeten worden?

Een bedrijf moet er natuurlijk alles aan doen om de beveiliging op orde te hebben, maar het voorkomen van inbraak is nooit helemaal te voorkomen. Als je als internetgebruiker goed bent voorbereid (lees, nooit hetzelfde ww gebruiken) heb je nergens last van.

Als een persoon bijvoorbeeld schade lijdt doordat zijn/haar PayPal & KPN/Babydump wachtwoord overeenkomen zou het absurd zijn als KPN/Babydump daar aansprakelijk voor zou zijn.... je hebt toch echt een _beetje_ zelf verantwoordelijkheid.

Zer0 @Anoniem: 444898 • 11 februari 2012 22:31

Ik ben 1 van de 537 die op de lijst op pastebin staat. De lijst is nog steeds voor iedereen te benaderen en via google te vinden. Ik heb inderdaad spullen via babydump besteld en m'n wachtwoord komt overeen met hetgeen

Dat is interessant, en toont aan dat de wachtwoorden die gepubliceerd zijn dus geen ene drol met KPN te maken heeft. Daarnaast toont het aan dat de media weer klakkeloos informatie die leuke koppen oplevert als waar bestempeld en ze niet eens verifieert.

HoppyF

@Anoniem: 444898 • 11 februari 2012 22:26

Als je werkelijk één van de personen bent die op de lijst staat en je wachtwoord bij KPN niet het zelfde is als in de lijst gaat de hele theorie over de bewuste lijst de mist in.

Als hackers de kpnmail adressen zorgvuldig uit de database van Babydump hebben geanalyseerd en gecontroleerd op juistheid door bij KPN zouden ongelijke wachtwoorden uit de lijst gefilterd moeten zijn.
Hier klopt dus iets niet. (aangenomen dat "slachtoffer kpn" niet zomaar iets verteld)

Anoniem: 444898 @HoppyF • 11 februari 2012 22:36

Ik heb vanavond nog met 1 van de medewerkers van KPN gesproken en die bevestigde dat niet alle wachtwoorden van de lijst overeen komen met hun gegevens, sommigen wel. De mijne wijkt dus af en daarom begreep ik er tot vanavond ook helemaal niks van. Ik ga er vooralsnog vanuit dat mijn gegevens inderdaad uit de database van babydump komen.

HoppyF

@Anoniem: 444898 • 11 februari 2012 23:02

Aha, de hackers hadden jouw gegevens dus nooit in hun lijst moeten opnemen.
Beetje dom van ze wat dan wel weer vreemd is want het was juist de bedoeling van de hackers om de link tussen de kpnmail, de wachtwoorden en de babydump-lijst te leggen.
Deze vergelijking gaat dus op een aantal punten de mist in wat je een slordigheidje kunt noemen van de hackers.

Anoniem: 444898 @HoppyF • 11 februari 2012 23:20

En van meerdere niet. Ik denk dat degene die die lijst heeft gepubliceerd gewoon wilde meeliften op de sensatie. Er is bij nu.nl een bestand ontvangen met gegevens van 136.000 gebruikers van babydump en daaruit zijn de 537 met een @kpnmail.nl gefilterd. Domme pech, dat ik daar nu net bij zat.

SPT @Anoniem: 444898 • 11 februari 2012 21:56

Nee. Alleen grove nalatigheid in de beveiliging zou mogelijk een rechtsgrond voor schadevergoeding vormen, maar dan nog geldt dat eventuele gevolgschade in Nederland moeilijk te claimen is.

Bij de hackers zou je, mochten die ooit worden gevonden, wel een kans maken.

Soldaatje @SPT • 11 februari 2012 22:01

Dat is niet zo best geregeld dan in Nederland.

Wanneer is iets grove nalatigheid?
Als dat de hack bij babydump niet is en de hack bij KPN ook niet wat dan wel?

Edit: "slachtoffer kpn" is zeker een leuke naam! $_/-\o_$

[Reactie gewijzigd door Soldaatje op 24 juli 2024 02:45]

Anoniem: 444898 @Soldaatje • 11 februari 2012 23:18

het was eigenlijk bedoeld als "slachtoffer kpn-babydump hack", maar dat lukte niet

Chrit @Anoniem: 444898 • 11 februari 2012 22:15

"hetgeen ik daar gebruik heb en is niet hetzelfde als m'n wachtwoord bij KPN"
_{Zelfs dat niet!!}
Hoe maak ik van 'n mug 'n olifant.
Eigenlijk wel zielig voor de KPN.
Ze hebben, als ik het goed begrijp, zichzelf de das omgedaan om zo te reageren op 'n hacker.
Onbegrijpelijk.

Zer0 @Chrit • 11 februari 2012 22:33

Ze hebben, als ik het goed begrijp, zichzelf de das omgedaan om zo te reageren op 'n hacker.

Ze hebben het enige juiste gedaan, de boel dicht gezet en onderzoek begonnen. Als ze het genegeerd hadden was je ook gaan zeuren.....

Chrit @Zer0 • 11 februari 2012 23:39

De KPN kan, zodra ze de lijst in bezit heeft, de wachtwoorden controleren en concluderen dat de lijst niet om 'n hack gaat maar om 'n hak gaat.
Om maar wat te zeuren:
'n dag geen mail krijgen is ook k....

BeerenburgCola @Chrit • 12 februari 2012 09:19

O een "hak" zetten. Nu snap ik 'm

sypie @Chrit • 12 februari 2012 00:42

Als een hacker roept dat 'ie KPN heeft gehackt en KPN zegt van niet, dan is het een welles-nietes spelletje.

Beide partijen zullen misschien gelijk hebben gehad. Een hacker heeft waarschijnlijk spullen van de KPN gekopiëerd, echter niet de lijst die nu gepubliceerd is, die komt ergens anders vandaan.

Dus ja, KPN heeft niet zichzelf de das om gedaan, KPN heeft voet bij stuk gehouden en gezegd dat er niet gehackt is of niks is buitgemaakt.

Het is de hacker die zichzelf op deze manier te kijk zet: een lijstje publiceren die al twee jaar oud is. Kennelijk ben je als hacker dan een enorme slappe zak.

SCIxX @Anoniem: 444898 • 11 februari 2012 21:55

Mooi dat je naam is slachtoffer KPN.

Als ze nalatig zijn geweest kun je wellicht een schadevergoeding eisen, of je deze zal krijgen is een tweede, naast de hoeveelheid moeite die je hiervoor zal moeten doen.

FlowDesign @Anoniem: 444898 • 12 februari 2012 14:56

slachtoffer kpn - Geregistreerd op 11 februari 2012

Als ik jou was zou ik dit account gewoon direct weer opheffen en een account aanmaken met de naam "slachtoffer BabyDump", lijkt me wel zo netjes richting KPN

_Eend_ 11 februari 2012 19:02

Veel mensen gebruiken (bijna) overal hetzelfde wachtwoord voor. Waarschijnlijk is dat de verklaring waarom de 'wachtwoorden van de KPN-mailaccounts' in de Baby Dump database stonden.

Anoniem: 19339 @_Eend_ • 11 februari 2012 19:46

Mee eens, maar waarom dan beperken tot KPN accounts?

Ik neem aan dat het aandeel mensen dat hetzelfde wachtwoord voor alles gebruikt, toch wel gelijkmatig verspreid is over alle providers. Dus klanten van Xs4all, Ziggo, UPC, anything, zou hetzelfde voor gelden?

Anoniem: 21785 @Anoniem: 19339 • 11 februari 2012 20:01

Die "KPN hacker" schreef erbij: "KPN houdt vol: geen klantgegevens gestolen." Nu blijkt dus dat de lijst uit een hele andere database van een heel ander bedrijf komt.

Conclusie: iemand probeerde KPN heel veel schade toe te brengen - en met succes! Met zijn fake-bericht wist hij talloze KPN klanten zo boos te krijgen dat ze op sites als Tweakers openlijk schande spraken van de slechte beveiliging van KPN, aankondigden om hun abonnementen op te zeggen en riepen om het aftreden van de directie.

Natuurlijk valt het nog steeds te bezien of die beveiliging werkelijk zo slecht was als men gisteren nog dacht - het verhaal over die 16 GB is natuurlijk nog steeds relevant. Maar zelfs als het achteraf enorm blijkt mee te vallen met die KPN beveiliging is de imagoschade (en reële economische schade) voor KPN al enorm.

Zo zie je maar hoe makkelijk het tegenwoordig is om een hele effectieve hetze te voeren. Zoveel goedgelovige mensen... En het ergste is: ikzelf ben er daar één van.

[Reactie gewijzigd door Anoniem: 21785 op 24 juli 2024 02:45]

HoppyF

@Anoniem: 21785 • 11 februari 2012 22:12

Zo fake was dit bericht niet.
Dit bericht kan goed ontstaan zijn om een rookgordijn op te werpen.
Iedereen stort zich nu hier op en laat het werkelijke probleem (de echt KPN hack) buiten beschouwing.
Op die manier blijft KPN uit de wind en wordt nu opeens het "slachtoffer" terwijl ze in werkelijkheid de hoofdschuldige zijn van dit drama.
Natuurlijk zijn hackers inbrekers en niet altijd zulke vriendelijke jongens maar het verhaal wat er nu rondgestrooid wordt klopt voor geen kant.

En dan nog iets.
Waarom zou je als KPN klant een wachtwoord gebruiken die te maken heeft met de bewuste babywinkel en dit zelfde wachtwoord gebruiken om in je KPN account/email in te loggen? Dat is dus echt NIET logisch!!
Andersom misschien wel, dat mensen hun KPN account wachtwoord gebruiken voor webwinkels e.d. In dit geval is het andersom. Vreemd hè!

Loekie

@HoppyF • 12 februari 2012 15:52

Check dit eens:
http://youtu.be/UJRJX7995S0

Wat denk je dat het KPN kost? Dat doen ze niet uit vrije wil, zonder die publicatie hadden ze dat allemaal niet hoeven doen...

ZpAz

@HoppyF • 12 februari 2012 00:19

Waarom zou je als KPN klant een wachtwoord gebruiken die te maken heeft met de bewuste babywinkel en dit zelfde wachtwoord gebruiken om in je KPN account/email in te loggen? Dat is dus echt NIET logisch!!
Andersom misschien wel, dat mensen hun KPN account wachtwoord gebruiken voor webwinkels e.d. In dit geval is het andersom. Vreemd hè!

Je spreekt jezelf hier tegen, als twee wachtwoorden overeen komen is de kans vrij groot dat je dit wachtwoord eerst hebt gebruikt bij je email adres wat je hebt. Dit mail adres gebruik je dan om een ander account aan te maken bij bv baby dump.

Offens1490 @HoppyF • 12 februari 2012 00:51

nou als ik zo'n standaard wachtwoord van mijnkpn moet gebruiken dan moet ik altijd het blaadje zoeken ( zoiets van jKd5L21zM)

De mens is een gewoonte dier en moet iets makkelijks voor hemzelf hebben zoals een cijfer of letter combo.

Anoniem: 444773 @Anoniem: 19339 • 12 februari 2012 11:48

Van alle providers liggen account gegevens op straat, zolang mensen in Phishing mails trappen en hierop hun NAW gegevens terug sturen. En kan je uit ervaring vertellen dat veel mensen gewoon blind vertrouwen op dergelijke mails ondanks dat ze slecht geschreven zijn, onzin bevatten.... mensen denken niet na.

Ook hebben veel mensen (onbewust) een rootkit op hun Windows PC staan dus zijn de gegevens kwetsbaar. Heb uit betrouwbare bron begrepen dat circa 300.000 Ziggo gebruikers besmet zijn en Ziggo dit ook weet maar ze nooit allemaal tegelijk kan blokkeren uit veiligheid omdat ze de stroom aan vragen dan niet aan kunnen, dus ze doen het stap voor stap.....

Anoniem: 382732 @Anoniem: 19339 • 13 februari 2012 07:49

Dat lijkt me niet zo moeilijk: degene die de babylijst hebben gepubliceerd wilde meeliften op de kpn aandacht van afgelopen week. Je krijgt lang niet zoveel aandacht als je domweg een gejatte lijst van een relatief onbekende webwinkel publiceerd, dan als je zegt dat je de lijst van kon hebt....

doctormetal @_Eend_ • 11 februari 2012 19:50

Dit is wel heet meest waarschijnlijke. Dit maakt het overigens ook wel weer heel triest, want dit zou dus betekenen dat baby dump de wachtwoorden in plain text opslaat en dus überhaupt niets begrijpt van security.

Durandal @doctormetal • 11 februari 2012 20:36

en wat verwacht je dan van een baby zaak?

Jasper Janssen @doctormetal • 11 februari 2012 20:34

Alle gereleasede wachtwoorden zijn "slechte" wachtwoorden, dus mogelijk is er *of* een pure bruteforce aanval op de database gedaan *of* de hashes waren unsalted (dat is verouderd, maar een vergeeflijke fout) en daardoor mbv een set rainbow tables nogal makkelijk te kraken.

Jasper Janssen @Kalief • 11 februari 2012 22:00

Ik snap niet helemaal wat je bedoelt te zeggen.

Uthog 11 februari 2012 19:02

134k aan account waarvan er 539 van KPN waren. Zouden het niet gewoon klanten van KPN zijn die daar zitten?

Het lijkt erop dat iemand heeft geprobeerd KPN zwart te maken.

Bld- @Uthog • 11 februari 2012 19:12

Of iemand heeft lopen dollen en zijn hack van 2 jaar geleden even gefilterd op @kpn adressen, gecontroleerd of sommige nog werken en hop online gezet.

Jasper Janssen @Uthog • 11 februari 2012 19:13

Ik denk dat er veel meer waren @kpnmail.nl, maar het is nog best mogelijk dat ze specifiek gefilterd hebben (door te proberen in te loggen, geautomatiseerd) op accounts waarbij beide wachtwoords gelijk waren.

3dfx @Uthog • 11 februari 2012 19:13

Het lijkt erop dat iemand heeft geprobeerd KPN zwart te maken.

Tja, komt door de toepasselijke kleuren van het KPN-logo denk ik:
je ergert je groen en geel, en je betaalt je blauw

Johny_B 11 februari 2012 19:44

Wat wel grappig is als je naar de lijst met wachtwoorden kijkt is dat een aantal mensen 'BabyDump' als wachtwoord heeft. Verder zie je dat veel mensen als wachtwoord hebben het product waar ze naar zoeken/gaan bestellen zoals 'babyfoon' en 'autostoel'. Naast het gebruikelijke geboortedatum en af en toe babynaampjes.

HoppyF

@Johny_B • 11 februari 2012 22:17

Waarom zou iemand een "babydump" wachtwoord gebruiken om in hun KPN email in te loggen? Beetje vreemd toch?
Of is babydump zo belangrijk dat alle websites waar ze op inloggen gerelateerd moeten zijn aan deze site? Dat kan ik me echt niet voorstellen.

Zer0 @HoppyF • 11 februari 2012 22:23

Waarschijnlijk zijn het dan ook helemaal geen wachtwoorden van KPN accounts, maar gewoon die van Babydump accounts

Polster 11 februari 2012 19:00

Raar verhaal. Waarom zou een retailer de inloggegevens van duizenden KPN mail accounts bezitten.

Hans1990 @Polster • 11 februari 2012 20:23

Ik vind het vaak heel oncontrolleerbaar om uitgelekte gegevens direct aan een site te koppelen. Wie weet zijn de login en adres gegevens van een of andere webwinkel / forum oid die zijn wachtwoorden ongecodeerd opslaat.
In princiepe kan elke grapjas (oops, verkeerd woordgebruik) een willekeurige database met klantgegevens op kpn.nl filteren en die verspreiden. "Kijk, zie je nou wel dat 'onze' KPN hack echt is!". Wat ik wil zeggen, dit kan zomaar gebeuren en zou daar niet gek van opkijken.

Omdat op zo'n korte termijn je moeilijk die echtheid kan controleren, ook als KPN zijnde, hebben ze (naar hun zeggen) uit voorzorg het mailsysteem offline gehaald. Het is al eerder gezegd, mensen gebruiken teveel dezelfde wachtwoorden op meerdere sites.
Het is makkelijk overhaast links te gaan leggen. Wat natuurlijk wel zo is, als er zulke onzekerheid bestaat kan een bedrijf met de grootte van KPN de privacy van zijn klanten beter voorop zetten.
Of dit bericht waar is, of dat het vorige bericht van 'de hackers' waar is valt erg moeilijk te zeggen. Dan zou KPN eens goed in hun systemen moeten spitten wat er precies gebeurd is, wat er uit gelezen is enzovoort. Ik zou alles in twijfel trekken, wat mij betreft is er niets in de aard van krakers die bevestigen dat ze betrouwbaar zijn.

[Reactie gewijzigd door Hans1990 op 24 juli 2024 02:45]

_root @Polster • 11 februari 2012 19:07

het gaat dus om 500 accounts, waarschijnlijk gefilterd uit de andere database (klanten van dat bedrijf)???

tweaker2010 @_root • 11 februari 2012 19:39

Dus alle mensen met KPN mail die geen klant zijn bij Baby Dump hoeven zich geen zorgen te maken? Dan vraag ik me wel af of Baby Dump hun andere klanten ondertussen ook heeft ingelicht.

sypie @tweaker2010 • 11 februari 2012 20:06

Gezien de data niet van gisteren is lijkt het wel. Als je na meer dan een jaar nog steeds niet je klanten hebt geïnformeerd over deze zaken dan ben je geen goede ondernemer.

Anoniem: 396927 @sypie • 11 februari 2012 20:49

Baby Dump heeft haar klanten nooit geïnformeerd. Mijn vrouw in ieder geval niet.

Een woordvoerder van Baby Dump kan niet uitleggen wat er precies heeft plaatsgevonden. “Het lijkt erop dat het bij ons vandaan komt, maar zeker is het niet”, vertelt hij tegenover NU.nl. Omdat het waarschijnlijk gaat om data uit 2010 is het lastig te achterhalen of er daadwerkelijk is ingebroken en zo ja wanneer. Het publiceren van de klantenlijst noemt de zegsman ‘laf’.

Ik begrijp hieruit dat Baby Dump gewoon niet wist dat er gegevens zijn gestolen.

DutchWalnut @_root • 11 februari 2012 19:27

Ja... en aangezien 9/10 mensen het zelfde wachtwoord gebruiken voor alle applicaties... krijg je dit soort dingen en dan was het inderdaad aannemelijk dat de schuld in eerste instantie bij de KPN lag (ivm Hack). Nu ligt de schuld bij een ander en met name aan de klanten. Hopelijk is iedereen wakker en gebruikt iedereen voortaan een andere wachtwoord.

ion @Polster • 11 februari 2012 19:02

ze zullen zich waarschijnlijk daar ooit een keer hebben aangemeld.

Jasper Janssen @Polster • 11 februari 2012 19:12

Het was een database met enige honderdduizenden accounts erin. Op zich is het helemaal niet vreemd dat er dan 500 adressen @kpnmail.nl inzitten, KPN heeft best een groot marktaandeel in Nederland.

Anoniem: 105188 @Polster • 11 februari 2012 19:08

KPN is een van de grootste ISP's in Nederland dus hebben veel mensen mailadres op het KPN domein en dus is het aannemelijk dat een retailer veel klanten met een KPN maildres heeft. Als je eenmaal een database of tekstbestand met al die gegevens hebt is het kinderlijk eenvoudig om alle KPN adressen eruit te filteren.

PatrickH89 @Conzales • 12 februari 2012 12:02

De hackers meldden dat ze 16GB aan data hadden, maar die 'vernietigd' hebben. Dat klinkt toch op zijn minst dubieus en dat is toch geen reden om die 16GB als waarheid aan te nemen.

Conzales @PatrickH89 • 12 februari 2012 12:46

Ik heb zelf de gegevens niet op tijd op pastebin in kunnen zien. Wat ik wel zag is de verwijzing naar de grootte van het bestand en dit was iets van 6,8 GB. Of dit echt zo was kon ik dus niet achterhalen..

Yamotek @Conzales • 12 februari 2012 14:10

De Baby dump hack en de KPN hack zijn verschillende hacks. Bij de KPN hack zou er 16GB aan gegevens zijn gedownload, maar bij de Baby dump hack is er niets bekent over hoe groot het bestand was.

KPN heeft wel degelijk toegegeven dat zij gehackt waren. Echter was dit een paar weken nadat de echte hack heeft plaatsgevonden. Bij Baby dump lijkt het zo te zijn dat de gegevens in 2010 al zijn buitgemaakt en dat er een lijst met gefilterde e-mails (zodat er alleen KPN adressen in staan) is gepubliceerd.

De opta is een onderzoek gestart om te kijken of KPN wel goed beveiligd is tegen dit soort aanvallen (dus niet oude software draaien terwijl er al updates uit zijn).

Neemt niet weg dat er dus veel bedrijven zijn die nog wat te leren hebben op het gebied van beveiliging.

lameeuw

11 februari 2012 19:04

Lijkt het idd op, vele wachtwoorden zijn wel herkenbaar als zijnde door KPN uitgegeven. Eigenlijk zou KPN bij klanten hetzelfde moeten doen als bij de medewerkers, wij moeten elke zoveel weken voor elke applicatie het wachtwoord wijzigen en dat wachtwoord mag de afgelopen 12 maanden niet al eens gebruikt zijn voor die ene applicatie. Misschien moet dat ook voor de klanten maar geïmplementeerd worden ? Voorkom je in ieder geval een hoop gedonder mee.

[Reactie gewijzigd door lameeuw op 24 juli 2024 02:45]

Anoniem: 16328 @lameeuw • 11 februari 2012 19:12

KPN moet zijn eigen beveiliging eens op orde brengen in plaats van het probleem af schuiven op haar klanten. Feit blijft wel dat er een major beveiligingslek bij KPN was anders kun je niet 16GB aan data vergaren.

lameeuw

@Anoniem: 16328 • 11 februari 2012 19:31

Dat de betreffende lijst met inloggegevens niet bij KPN vandaan lijkt te komen maar bij een andere partij en dat daaruit blijkt dat klanten meermalen hetzelfde wachtwoord gebruiken bij verschillende diensten is NIET de fout van KPN maar van de eindgebruiker zelf !! Je kunt geen enkele ISP afrekenen op de "onkunde" van de klant.

En 16 GB... ben wel heel benieuwd, ik kan me gewoonweg niet voorstellen dat je 16 GB nodig hebt aan data om klantinformatie op te slaan. Ik vermoed dat er meer andere informatie binnengehaald is dan daadwerkelijke klantinformatie.

Neemt uiteraard niet weg dat dit niet had mogen kunnen, daar valt niet over te discussiëren.

Dlocks @lameeuw • 11 februari 2012 21:44

dat klanten meermalen hetzelfde wachtwoord gebruiken bij verschillende diensten is NIET de fout van KPN maar van de eindgebruiker zelf !! Je kunt geen enkele ISP afrekenen op de "onkunde" van de klant.

Nee, dat is de fout van onkundige programmeur(s). Wachtwoorden behoor je salted en gehashed op te slaan in een db.

Loekie

@Dlocks • 12 februari 2012 15:56

Mjah, maar als er 1 webwinkeltje het niet doet EN de gebruiker hetzelfde wachtoord overal gebruikt houd je dit probleem. Daar kun je dan de beste technieken voor implementeren, maar als de user dat doet houdt het natuurlijk op voor de anderen.

huntedjohan @Anoniem: 16328 • 11 februari 2012 20:34

kpn schuift de schuld helemaal niet weg, jij doe dat nu. zo te zien is die baby zaak de grote lek en probeer jij kpn zwart te maken.

Anoniem: 370668 @lameeuw • 12 februari 2012 13:11

Het vervelende is, dat hoe meer verschillende applicaties je gebruikt, hoe meer wachtwoorden je krijgt, na een aantal jaar zit een moeilijk wachtwoord wel in je hoofd.
Maar denk eens aan vele betaaldiensten, marktplaats, uitzendbureaus, aparte telefoondiensten, allen hebben of vragen een wachtwoord, niets is zo verleidelijk als een general wachtwoord te nemen, zodat je bij meerdere verschillende diensten met eenzelfde of nagenoeg zelfde wachtwoord kan inloggen.
Voor je werk neem je een ander wachtwoord omdat na verloop van tijd je anders je wachtwoord verloopt en anders je applicatie niet meer inkan en je moet inloggen onder een andere naam tijdelijk, dus dat is ook niet je van het.

Wat hier gebeurt thans is dat je met de wet Persoonsregistratie, jouw gegevens met adres met naam met toenaam met je prive nummer en ook nog eens met een wachtwoord (wat je ooit heb gebruikt bij babydump) nog steed online staat.

Dat zomaar een vreemde, ik dus, bij jou gegevens kan komen.
Die mij helemaal niets aangaan...
Deze gegevens staan notabene nog steeds online van de gedupeerden....
Dit is niet de oorzaak van KPN, maar eigenlijk van Babydump, als daar de gegevens vandaan komen, zij moeten dus samen met KPN of de overheid actie ondernemen.

Deze gegevens moeten dus offline gehaald worden, met name de wachtwoorden...
Niet iedereen is op dit moment thuis of heeft toegang tot zijn computer van die ruim 500 gedupeerden... Dit is prioriteit 1, de sites waar de gegevens op staan die vrijelijk door iedereen te benaderen zijn moeten op slot, die gegevens moeten eraf.
Daarvoor hoef je niet eerst aangifte te doen o.z.d.

Het wijzigen van de KPN adressen is ook een probleem daar mensen aangemeld staan bij verschillende diensten of zaken die of waar ze mee te maken hebben.
Deze mensen zouden dus ook allemaal een extra account aan moeten maken en stapsgewijs alles moeten veranderen.

Loekie

@Anoniem: 370668 • 12 februari 2012 16:01

Je mag aannemen dat ze bij KPN niet zitten te slapen en die accounts preventief gereset hebben om die klanten te beschermen.

Als jij die gegevens offline wilt halen op pastebin kun je ze een mailtje sturen, ik geef je echter weinig kans. Die zijn al zo vaak gekopieerd, dat heeft geen zin. Zoek nu maar eens naar KPN Pastebin...

Er staan een aantal collega's van me op die lijst en na bekend worden bron werd het verband duidelijk, allebei net ouders geworden...

Anoniem: 370668 @Loekie • 12 februari 2012 17:08

De gegevens staan online bij een site of bij meerder sites, met naam en toenaam en wachtwoord, waar jij ook bij kan zonder eerst te hoeven in te loggen.

En op Pastebin offline halen, dit moet de overheid doen. Werken ze niet mee zet alles dan maar op zwart, voor deze site geldt hetzelfde als bijvoorbeeld voor de Telegraaf, je mag best nieuws brengen maar zodra je, of zij gebruik maken van illegaal verwerft materiaal, bijvoorbeeld een illegaal opgenomen filmpje van een security camera bijvoorbeeld, of inbreuk in het portretrecht, haalt de telegraaf dit ook weg, doen ze dat niet dan kan als sanctie een boete gegeven worden of gaat ook deze site op zwart,
Bij Pastebin is er inbreuk gemaakt op dit recht , privacyrecht
dus zullen ze daar gehoor aan moeten geven en herhaling moeten kunnen voorkomen.

Die accounts kunnen niet zomaar gereset worden, daar is het of hun systeem niet geschikt voor, zodra een account word gereset word heeft die klant ook meteen geen internet meer, de meeste klanten die dus een mail adres hebben bij kpn ziggo of tele2 hebben vaak of nemen vaak een product af in de vorm van een internetaccount.

Loekie

@Anoniem: 370668 • 12 februari 2012 22:05

M'n pa is er ook klant en kan gewoon wachtwoord resetten. Ik weet niet waar jij het over hebt, maar het internet heeft daar compleet geen last van.

Pastebin staat nu niet direct bekend om hun hoogwaardige moraal aangaande gepost materiaal en de overige pagina's waar het nu staat zijn nog minder.

Anoniem: 370668 @Loekie • 15 februari 2012 15:52

een wachtwoord kan je altijd resetten natuurlijk...je had het in een eerder bericht over een account resetten dat is wat anders dan een wachtwoord resetten
Het gaat hier om een account te resetten, dwz dat de account (oftewel de gebruikersnaam) opgeheven word en er een nieuwe account (gebruikersnaam) voor de klant word aangemaakt.
Je gegevens zijn dus gekoppeld aan een mailadres
met een account reset worden dus en gebruikersnaam en wachtwoord, opnieuw ingesteld, je gebruikersnaam is een onderdeel van de provider waar je internet of andere diensten van af neemt en dat kan dus ziggo kpn of wat anders zijn.
Alle diensten zijn gekoppeld aan je gebruikersnaam bij desbetreffende provider niet aan je wachtwoord!! Dus als jij je wachtwoord kwijt ben of niet meer in kan loggen staat dat geheel los van de diensten die je afneemt.
Je wilt echter niet als mensen jou mailadres gaan googelen, dat zij ook meteen je priveadres prive telefoon nummer en ander dingen van je kunnen vinden, zoals (oude) wachtwoorden die je ooit gebruikt heb of nog steeds gebruikt voor bepaalde diensten.
Daarvoor kan betreffende provider besluiten om een nieuwe gebruikersnaam voor je aan te maken, gekoppeld aan de diensten die je afneemt.
En dat staat eigenlijk (bijna) gelijk aan een account reset.
Je zal je oude account dan nog wel een tijdje kunnen gebruiken, maar er zijn geen diensten meer aan gekoppeld van de provider.

[Reactie gewijzigd door Anoniem: 370668 op 24 juli 2024 02:45]

PeepPeepPeep @lameeuw • 11 februari 2012 19:15

Wordt niemand gelukkig van.
Bedenk zelf maar hoeveel diensten met wachtwoord je gebruik. Denk aan providermail, gmail, hotmail, livemail, facebook, hyves, twitter en de vele sites (van online winkels, abonnementen, etc.) waar je gebruikersnaam/wachtwoord voor nodig hebt. Als ze dat allemaal zouden gaan toepassen kan je dagelijks wachtwoorden zitten veranderen en lijsten bijhouden wat voor welke dienst of site het actieve wachtwoord is.

LogiForce @PeepPeepPeep • 12 februari 2012 05:05

Leuk die lijstjes thuis voor de inbrekers die bij je thuis op bezoek komen in plaats van de systemen van je ISP (of andere site waar je een accountje hebt). Ik dacht dat we daarom ook niet wouden dat mensen notitie papiertjes met hun wachtwoord aan de monitor hangen op het werk?

Maar ik geef je gelijk... onmogelijke zaak om zoveel verschillende wachtwoorden te gebruiken. Wel zou je een aantal verschillende wachtwoorden kunnen gebruiken en de sterkere voor de dingen die echt veilig moeten zijn enzovoorts.

Dus een voor je DigID, Paypal en andere overheids/bank zaken, een voor je hoofd email adress, een voor je andere email adressen en chat diensten, een voor social sites (hyves, FB, twitter, etc), en nog een voor online winkels en ander minder belangrijke sites.

[Reactie gewijzigd door LogiForce op 24 juli 2024 02:45]

Jasper Janssen @lameeuw • 11 februari 2012 19:14

Dan lopen je klanten weg naar een andere ISP waar niet "zoveel gedoe" nodig is.

Zer0 @lameeuw • 11 februari 2012 22:26

Lijkt het idd op, vele wachtwoorden zijn wel herkenbaar als zijnde door KPN uitgegeven.

KPN gebruikt een password-generator voor nieuwe accounts, net als honderden andere diensten. Dat soort wachtwoorden "lijkt" al gauw op elkaar.

ZpAz

@lameeuw • 12 februari 2012 00:22

Sorry maar dat is het slechtste wat je kan doen, men gaat het dan opschrijven of wachtwoorden verzinnen als wachtwoord1, wachtwoord2 e.d. Welke onnozele persoon ooit heeft verzonnen dat dat een goed systeem is.

trisje @lameeuw • 12 februari 2012 18:48

Heb je enig idee wat voor inpakt dat heeft op een service desk, en hoe ga je dat aan pakken. mensen maken met windows mail een connectie maar wachtwoord is geblokkeerd om dat deze verlopen is. Hoe ga je dat doorgeven aan de mail client.
En dan de gebruiker uitleggen hoe hij zij wachtwoord kan wijzigen, in het klanten portaal. O ja die moet je ook beveiligingen met een wachtwoord, die moet ook regelmatig veranderd worden. al die mensen die gaan bellen omdat ze de mail niet meer kunnen ophalen, niet meer in kunnen loggen in portaal.
Ik denk dat de services desk knetter gek wordt.

Anoniem: 382732 @trisje • 13 februari 2012 07:50

Inpakt?

renevanh 11 februari 2012 19:01

Onduidelijk is nog wel wat de wachtwoorden van de KPN-mailaccounts bij Baby Dump deden

Eh... men gebruikt overal hetzelfde wachtwoord... dat is het hele probleem!

SmiGueL @renevanh • 11 februari 2012 19:03

Idd, als dit waar is dan is het dus gewoon TOEVAL dat de wachtwoorden ook op de KPN mailadressen werkten..

In alle haast zijn dus ff 2M klanten offline gegooid, terwijl die hack er niets mee te maken gehad heeft?

[Reactie gewijzigd door SmiGueL op 24 juli 2024 02:45]

Uthog @SmiGueL • 11 februari 2012 19:04

Veiligheid boven alles denk ik?

SmiGueL @Uthog • 11 februari 2012 19:06

Ja dat snap ik, maar als dit eerder duidelijk was geworden (en de baby dump adressenlijst maar 500 KPN adressen bevat) dan hadden ze het spontane password resetten van die andere 1999500 mensen kunnen besparen

En in elk geval de mailservers ervoor online houden.

(Een password reset is na een hack sowieso geen slecht idee natuurlijk, dus dat dit is gebeurd kan natuurlijk nooit kwaad

)

[Reactie gewijzigd door SmiGueL op 24 juli 2024 02:45]

Uthog @SmiGueL • 11 februari 2012 19:09

Als jij een enorm bedrijf hebt en je word gehackt en er staan gegevens online op internet wat enorm veel op jou klant gegevens lijkt wat is dan het eerste wat je doet?

Zorgen dat er geen misbruik van kan worden gemaakt.

reablom @SmiGueL • 11 februari 2012 19:17

1999500

Anoniem: 303530 @SmiGueL • 11 februari 2012 19:18

Idd, als dit waar is dan is het dus gewoon TOEVAL dat de wachtwoorden ook op de KPN mailadressen werkten..

Dat is geen toeval. Dat hebben de publiceerders van deze data natuurlijk eerst gecontroleerd.

darkfader @Anoniem: 303530 • 11 februari 2012 23:05

Als KPN iets beters dan MD5 had gebruikt, hadden ze zich direct al kunnen verweren. Afgezien het feit dat de hackers het verkeer onderschept zou kunnen hebben op de servers.
Het is nu natuurlijk wachten op andere zogenaamde hacks. Moet het wel plaintext of MD5 zijn natuurlijk, maar het lijkt me niet zo moeilijk om als medewerker zijnde te zijn dat er MD5 gebruikt is, tenzij deze in een aparte tabel staat. En bij standaard-software kun je dat al weten. (fora etc.)

[Reactie gewijzigd door darkfader op 24 juli 2024 02:45]

p.m. @darkfader • 11 februari 2012 23:40

Er wordt absoluut iets beters dan MD5 gebruikt. Nadeel is dat je met dit soort dingen moeilijk kan zeggen 'dat je het zeker weet'. Hooguit met aan zekerheid grenzende waarschijnlijkheid.

Anoniem: 444773 @p.m. • 12 februari 2012 11:43

Als de POP server kwetsbaar is geweest bij KPN dan zouden ze de wachtwoorden hier vandaan hebben kunnen filteren. KPN biedt zover ik weet geen SSL aan op hun POP server.

Spockz @darkfader • 12 februari 2012 09:14

Als de wachtwoorden dus inderdaad van Baby Dump kwamen en niet van KPN zelf dan maakt het geen fluit uit hoe KPN de wachtwoorden opslaat. De kwaadwillenden hadden dan kunnen proberen te authenticeren met behulp van de emailgegevens en het wachtwoord.

Polster @renevanh • 11 februari 2012 19:22

Als dat het is dan vind ik het wel een rare reactie. Er zijn met enige regelmaat databases met inlog gegevens gelekt. Hiervan zal ook een grootdeel bestaan uit een emailadres + wachtwoord. Toen gooiden toch ook niet alle providers hun mailservers plat.

i-chat @Polster • 11 februari 2012 20:15

rare reactie helemaal niet...

> hacker - ik he kpn fix je beveiliging eens jullie zijn zo lek als mijn 86 jarige moeder...
> kpn - .... ach rot toch op.. ga iemand anders lastig vallen met je wanabee hackers praat - we krijgen jaarlijks duizenden zoniet tienduizenden mailtjes... owja je staat nu op onze /ignore lijst...

> hacker - hee nu.nl kpn is zo lek als een mandje - en hun beveiling is uit het jaar null.. we hebben van een aantal duizend mensen de gegevens kunnen inzien -

> nu.nl - extra extra kpn zo lek als de dijk van hansje, waar is de vinger die kpn gaat helpen .....

> scriptkiddy < hee cool laat ik kpn voor lul zetten met die babyzooi databased die ik van tpb heb gechecked, kun je lachen man!>

en zo gaat de zooi nog eff door...

met de huidige mentaliteit tegenover hackers en klokkenluiders gaat iedereen gewoon van het ergste uit en dat is dat de orriginele hacker de boel heeft willen verkopen... terwijl uiteindelijk blijkt dat een 15 jarige snotneus de boel heeft zitten flessen...

DAT krijg je er dus van als je als domme internet idioot overal hetzelfde wachtwoord gebruikt...

Dlocks @renevanh • 11 februari 2012 21:39

Eh... men gebruikt overal hetzelfde wachtwoord... dat is het hele probleem!

Nee, het probleem is dat er programmeurs *kuch* zijn die wachtwoorden ongehashed en unsalted in een db opslaan.

Anoniem: 444773 @Dlocks • 12 februari 2012 11:44

Je trekt conclusies zonder feiten kennis.... grappig

Dlocks @Anoniem: 444773 • 12 februari 2012 13:20

Alle wachtwoorden in de pastebin waren zichtbaar oftewel plaintxt en jij denkt dan dat de wachtwoorden gehashed en salted op geslagen waren?

Daarnaast heb ik het over in het algemeen. Dat mensen op meerdere plekken zelfde wachtwoorden gebruiken zou een veel minder groot probleem zijn in het geval programmeurs wachtwoorden salted gehashed op zouden slaan.

De geschiedenis (en wellicht ook de toekomst) leert echter dat het vaak genoeg voorkomt dat programmeurs wachtwoorden plaintxt opslaan.

Waar het mij om ging is dus dat het in een dergeijke situatie niet om "domme internet idioten" gaat zoals i-chat schreef maar om domme programmeurs.

[Reactie gewijzigd door Dlocks op 24 juli 2024 02:45]

HoppyF

@renevanh • 11 februari 2012 19:14

Lijkt me stug!
Dat kan wel eens voorkomen maar niet met de duizenden email adressen waar het nu om gaat. Die 539 is maar een kleine selectie.

Anoniem: 444773 @renevanh • 12 februari 2012 20:19

Probleem is volgens mij dat BABYDUMP zijn klanten niet heeft gewaarschuwd heel schandelijk!!!!

Franckey 11 februari 2012 19:28

Doordat KPN zelf dacht dat deze gegevens van hun afkomstig waren blijkt dus dat KPN wel degelijk wachtwoorden van gebruikers opslaat. Dat vind ik, zeker voor een ISP, erg slecht. Een hash van gebruikersnaam + password + salt is voldoende voor authenticatie en op die manier is een oorspronkelijk wachtwoord nooit meer te achterhalen.

Jasper Janssen @Franckey • 11 februari 2012 19:35

Gegeven een plaintext password (wat in de pastebin stond) kun je wel degelijk controleren of dat wachtwoord klopt of niet (uiteraard, anders heb je helemaal niks aan zo'n hash). Als die wachtwoorden kloppen, maar jij hebt je salted passwordhashes op orde, denk je dan echt dat de conclusie "ze kloppen wel maar ze kunnen toch niet bij ons vandaan komen" gerechtvaardigd is?

De conclusie dat ze alleen maatregelen zouden nemen als ze zelf dachten dat hun beleid niet klopte is natuurlijk van de zotte.

Overigens wordt, inderdaad, bij veel ISPs dat soort wachtwoorden in plaintext opgeslagen. Of dat bij KPN ook zo is zou ik echt niet weten.

mae-t.net @Franckey • 11 februari 2012 19:41

Die conclusie kan je daaruit onmogelijk trekken. Zoals Jasper Janssen al zegt, kan je een wachtwoord altijd testen (hoe log je anders in?), maar er is nog iets: Veel wachtwoorden die door providers verstrekt worden zijn gegeneerd. Ook als daar random elementen inzitten zijn ze mogelijk nog wel op het blote oog herkenbaar als KPN-wachtwoorden.

Zer0 @Franckey • 11 februari 2012 21:02

Doordat KPN zelf dacht dat deze gegevens van hun afkomstig waren blijkt dus dat KPN wel degelijk wachtwoorden van gebruikers opslaat

Hoe wil je iets met een wachtwoord beveiligen zonder dat je het wachtwoord opslaat? Tenzij je met (software) tokens gaat werken is dat onmogelijk, er moet iets zijn waarmee het ingegeven wachtwoord vergeleken wordt.
Het is wel belangrijk hoe je die wachtwoorden opslaat.

Franckey @Zer0 • 13 februari 2012 00:17

Dat legde ik juist uit, met een hashcode kan je wel controleren of iemand het correcte password gebruikt maar je slaat niet het password zelf op. Doordat er meerdere passwords zijn die dezelfde passwords opleveren is het oorspronkelijk gekozen password dus niet meer te achterhalen. En om het nog iets beter te doen gebruik je niet een hashcode van alleen het password maar van een combinatie van bijv. password + gebruikersnaam + salt.

Anoniem: 444898 11 februari 2012 22:14

Twpk, ik ben er gewoon niet zo blij mee dat als je m'n telefoonnummer of e-mailadres googled, dat je dan NAW gegevens erbij krijgt. Bovendien ontvang ik nu telefoontjes waar ik niet op zit te wachten. Is dat schade? Misschien niet, maar wat ik al zei, echt blij ben ik er niet mee.

HoppyF

@Anoniem: 444898 • 11 februari 2012 22:27

Ontvang je telefoontjes van KPN of instellingen die door KPN zijn aangesteld om deze zaak te onderzoeken?
Ik zou anders niet weten waarom ze je zouden lastig vallen.

Anoniem: 444898 @HoppyF • 11 februari 2012 22:31

De telefoontjes van KPN vind ik uiteraard geen enkel probleem. Maar de pers en lolbroeken is niet echt aan mij besteed....

Anoniem: 370668 @Anoniem: 444898 • 12 februari 2012 12:42

Heb je geen mogelijkheid om ieder geval bij KPN anonieme telefoontjes te negeren, geloof dat dat sterretje 21 is, even navragen, (Dit geldt alleen voor een vaste telefoon voor je mobiel zal je wat anders moeten zoeken, nieuwe simkaart?)

BeosBeing @Anoniem: 370668 • 15 februari 2012 11:24

*21* is doorschakelen, bv naar de buren, naar een ander adres/telefoonnr waar je op bezoek bent of naar je GSM. Met *21# zet je het dan weer uit. *61 laat eerst je telefoon een paar keer overgaan en doet daarna hetzelfde. Wel ben ik *33* en #33# tegengekomen als optie om een anoniem nummer welke je al hebt opgenomen te blokkeren, maar dat was bij een andere aanbieder (via ADSL) en kan zowiezo per aanbieder verschillen. Bij KPN blokkeert *33* uitgaande gesprekken. (Althans volgens een lijstje uit de tijd dat Vodafone nog Libertel heette en Orange nog Dutchtone en T-mobile Ben nog niet had overgenomen.)

Jasper Janssen @HoppyF • 12 februari 2012 10:19

Dude, je bent een van de 539 primair gedupeerden in het grootste schandaal van de afgelopen drie dagen, en heel Nederland die het wil heeft toegang tot die gegevens inclusief dat telefoonnummer. Nogal wiedes dat je dan tig keer gebeld wordt, al is het maar door allerlei puisterige prank caller Bart Simpson wannabe's.

Als je ook nog eens de pech hebt laten we zeggen in de eerste tien te staan al helemaal.

Anoniem: 370668 @Jasper Janssen • 12 februari 2012 12:46

Kom je op die manier ook nog in een aparte database voor gezinnen met kinderen.
Zal wel weer en of ander call-center gaan bellen..
voor stripboeken van de donald duck ofzo, of aanbiedingen naar pretparken
via de mail.

[Reactie gewijzigd door Anoniem: 370668 op 24 juli 2024 02:45]

Chrit @Anoniem: 444898 • 11 februari 2012 22:36

Een speciale geste van de babydump zou zeker wel op z'n plaats zijn; bv één artikel uitzoeken naar keus.
De telefoon 'n paar dagen eventueel filteren op jou belangrijke contactpersonen(als dat kan).
Er zijn ergere dingen, dacht ik.
Vele menen zijn i.i.g weer wakker geschud.

DMZ 11 februari 2012 19:02

Onduidelijk is nog wel wat de wachtwoorden van de KPN-mailaccounts bij Baby Dump deden.

Gerichte advertising is het eerste wat ik denk

sypie @DMZ • 11 februari 2012 20:08

Voor veel webwinkels moet je een account maken, zo ook bij deze webwinkel. Niks vreemds aan dus. Waarom webwinkels je mailadres nodig hebben: gerichte reclame, communicatie voor, tijdens en na een bestelling, aftersales?

Op dit item kan niet meer gereageerd worden.

'Mailgegevens KPN-klanten kwamen uit Baby Dump-database'

Lees meer

Sql-injectie en xss: de beste verdediging

IT-banen

Reacties (170)

Sorteer op:

Weergave: