Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

KPN gaat maandag op zijn website een meldpunt openen waar klanten terecht kunnen die door de geblokkeerde e-maildienst financiële schade hebben geleden. De provider herstelde zaterdag na ruim een dag de toegang tot zijn mailservers.

De telecomaanbieder schrijft dat vanaf maandagmiddag bij het meldpunt een formulier ingevuld kan worden door gedupeerde KPN-klanten. Daarna belooft KPN per geval te zullen bekijken 'wat we voor deze klanten kunnen betekenen'.

De telecomaanbieder, die onlangs te kampen had met een grootschalige hackersaanval, zegt dat uit de duizenden klantenreacties is gebleken dat zij helderheid willen over waar zij met klachten en schadeclaims precies terecht kunnen. KPN zal bovendien naar de getroffen klanten een instructiemail sturen waarin de telecomaanbieder uitlegt hoe zij hun wachtwoord kunnen wijzigen. Inmiddels zouden 30.000 klanten van deze mogelijkheid gebruik hebben gemaakt.

KPN haalde vrijdag uit voorzorg zijn mailservers uit de lucht, omdat het bedrijf het vermoeden had dat er van zijn systemen accountgegevens zijn buitgemaakt na de publicatie van een lijst met accounts. Mogelijk zijn de gegevens echter afkomstig van de webwinkel Baby Dump. Door de preventieve actie van KPN waren 2 miljoen e-mailaccounts ruim een dag niet bereikbaar; pas zaterdagavond besloot de telecomprovider de toegang weer te herstellen.

Moderatie-faq Wijzig weergave

Reacties (43)

Financiële schade? Lijkt mij moeilijk aan te tonen als consument. Als zakelijke gebruiker moet je ook geen consumenten-mail willen, daarbij een eigen domein + mail kost ook niet zoveel.
Schade is altijd lastig aan te tonen en het schijnt zo te zijn dat Nederlandse rechter nooit fictieve omzet verlies als schade toekennen.

Dus alleen als je stappen hebt ondernomen om het probleem te adresseren, b.v. als webshop je site of email account hebt verhuisd en een factuurtje hebt voor werkzaamheden/hosting die allemaal redelijk geprijsd zijn maak je een kans.

Overigens uit eigen ervaring weet ik dat KPN onder druk niet voor rechter kiest (kost hun te veel) maar voor een collectieve schade vergoeding kiest.

Als er een groep de gedupeerde gaat vertegenwoordigen zal KPN het niet voor komen en een bedrag uit keren.

Overigens adviseer ik bedrijven wel aan zich niet bij consumenten organisatie aan te sluiten, want KPN zal hooguit een paar maanden gratis dienst aanbieden en geen financiële vergoeding aan consumenten.

Wij hebben eens bij kabelbreuk op een industrie terrein waardoor we 24 uur geen telefoon en internet hadden iets van 250 euro gekregen. Ook al was je schade groter geweest, is het als bedrijf met name de juridische kosten een grote drempel, omdat KPN nooit verantwoordelijk heeft genomen voor de kabelbreuk had je dan lang moeten procederen. In dit geval zullen ze het hebben over overmacht en hun incompetentie en achterlijke handelingen van NA detectie ook op de hacker(s) willen afschuiven.

Verder kan KPN zich op het punt stellen dat indien een bedrijf haar consumenten diensten zakelijk heeft gebruikt (zoals een @kpn email adres) ze willens en wetens een dienst heeft gebruikt die niet voor de zakelijke markt bedoeld is. Of lullige argumenten dat de tenaamstelling van dienst een privé persoon betreft en niet een rechtspersoon etc..

Algemeen advies als je vaak email gebruikt, gebruik dan nooit het gratis email adres van je uplink provider, want de enige reden waarom je die krijgt is dat hun je aanmaningen/rekeningen kunnen versturen en jij niet zomaar bij ze weg zult gaan omdat al je (zakelijk) mail via dat adres binnen komt. De kans dat EMAIL adressen ooit geporteerd kunnen worden is vrijwel uitgesloten (technisch voorziet protocol er niet in).

Gewoon gratis accountje aanmaken elders of beter je eigen mail op eigen (managed) server hosten. (juridische en ook technisch het meest veilig)
Ik vind het persoonlijk geen lullig argument wanneer blijkt dat een zakelijke klant een consumenten product verlangt. De schade die immers geleden wordt is voor een zakelijke klant vele malen hoger waardoor de eventuele schadevergoeding veel hoger uitvalt.

Nu komt het waarom ik het niet lullig vindt, op het moment dat zakelijke claims ook mogen worden ingediend voor een consumenten verbinding dit invloed gaat hebben op de prijzen die gehanteerd worden bij de consumenten afdeling.

In het Nederlandse recht kennen wij principes als 'verantwoordelijkheid', 'eigenschuld dikke bult' en 'had kunnen/behoren weten dat'. Een klant dat afhankelijk is van zijn e-mail heeft de eigen verantwoordelijkheid om hier passende maatregelen voor te nemen waardoor hij/zij niet afhankelijk is van een gratis product. Wanneer de klant hier geen maatregelen voor treft kunnen we stellen dat dit eigen schuld is (eigen schuld kom ik later op terug). En als laatste had de klant kunnen weten dat een gratis product bij een consumenten verbinding niet heel veel rechten oplevert en is derhalve verantwoordelijk om hier zelf actie tegen te ondernemen indien men afhankelijk is.

Eigen schuld: ik kan mij de juiste feiten niet herinneren maar strekking was dat er een feest gaande was in de binnenstad, op een stijger stonden mensen te springen en te feesten. Door het grote aantal mensen heeft deze stijger het begeven waardoor mensen gewond zijn geraakt. De rechter heeft in deze zaak niet de gemeente verantwoordelijk gehouden voor dit ongeluk maar wees de feestgangers op hun eigen verantwoordelijkheid. Hij stelde dat men had kunnen aannemen dat het springen met 50man op een stijger niet verantwoordelijk is.

Moraal van het verhaal: KPN heeft uit voorzorg een dienst uit de lucht gehaald, schade die hieruit voortvloeit zijn naar mijn mening voor de klant zelf.
Telewerkers hebben hun aansluiting thuis in de meeste gevallen op eigen naam staan, dit heeft te maken met fiscale wetgeving waardoor werkgever het niet op diens naam kan hebben ivm privé gebruik en bijhouden (en kosten daarvan) verbruik.

Ze krijgen hiervoor nu een netto vergoeding die niet onder loon-in-natura valt (wat bij het vergoeden van thuis telefoon/internet en eventueel TV) wel het geval is.

Verder heeft werkgever hiermee een positieve prikkel dat er niet op diens kosten veel gebeld zal gaan worden.

Een uitzondering hierop is indien iemand TWEE internet aansluiting heeft 1 privé en 1 op de zaak waardoor het aantoonbaar is dat er één zakelijk is omdat er b.v. op telefoon rekening geen enkele privé gesprek zal voorkomen.

Verder hebben heel veel ZZP'er een abonnement privé de aanbiedingen voor Internet/Telefonie als ook voor mobiel (zeker als je naar toestellen kijkt) zijn voor consumenten vaak veel beter (voordeliger) en keuze ruimer dan zakelijk.

Er zullen derhalve genoeg bedrijven zijn die om verschillende redenen een consumenten dienst hebben afgenomen. Als die dienst op een privé naam is valt er als bedrijf weinig te claimen, als de dienst wel op naam van de zaak is en de voorwaarden als ook de "aanbieding" van de dienst was nooit voor zakelijke markt bedoeld zul je ook weinig kunnen inbrengen.

Overigens zullen er tussen die 2 miljoen klanten vast wel bedrijven zitten die zakelijke diensten afgenomen hadden.

KPN had dienst niet uit de lucht hoeven te halen. De dag voordat ze het naar buiten brachten hadden ze voor minder dan 2 miljoen euro alle klanten kunnen informeren per post en hun nieuwe wachtwoord doen toekomen.

Uit alles blijkt dat ze amateuristisch hebben gehandeld en deze situatie zelf hebben veroorzaakt.

Ik vraag mij af hoe ze gaan argumenteren dat wachtwoorden per email versturen "veilig" is terwijl ze geen inzicht overzicht van de situatie blijken te hebben.

Uiteindelijk heeft er een manager een inschatting gemaakt zonder iets te begrijpen van de situatie en dacht "voordeliger" uit te zijn om het op deze manier te doen.

Ik hoop dat er een parlementaire enquête komt want de "hulp" en "adviezen" van de verschillende betrokken overheidsinstanties zal ernstig te kort geschoten hebben.
KPN had dienst niet uit de lucht hoeven te halen. De dag voordat ze het naar buiten brachten hadden ze voor minder dan 2 miljoen euro alle klanten kunnen informeren per post en hun nieuwe wachtwoord doen toekomen.
Alles uit de acties van KPN lijkt erop dat ze gewoon wisten dat er uit hun klantadministratiesysteem geen gegevens gestolen zijn. Pas bij die dump ( vrijdag ) snapten ze het zelf ook niet meer, en hebben ze het zekere voor het onzekere genomen en de boel plat gegooid. Had ik ook gedaan in zo'n geval.
Je mag wel een knappe organisatie hebben wil je vervolgens op zaterdagochtend 2.5 miljoen brieven verstuurd hebben.
Verder, en dat lijkt niet iedereen te beseffen, gaat het hier om de planet internet, kpn mail, en andere consumenten mail diensten. Zakelijk bieden ze Exchange Online aan, en die hebben hier geen last van gehad. Wil je zakelijk perse een consumenten product gebruiken, dan moet je niet zeuren als je even downtime hebt uiteindelijk. Ditzelfde geld ook voor de Amazon storing een tijdje geleden. Natuurlijk kun je daar kosten van krijgen, maar ook Tweakers die een bijzonder professioneel netwerk heeft richt nu een tweede locatie in.
Alles heeft gewoon een prijs. Betaal je 35 euro voor een ADSL lijntje met een maildienst erbij, dan moet je niet zeuren als die eens een storing heeft.
Het lijkt er eerder op dat ze tot op heden totaal geen clue hebben wat, wie, waar, hoelang al en hoe vaak iets gaande is. Je hoort zelden dat er op routers gerommeld worden, terwijl er vorige eeuw al bij verschillende ISP's op hun core-routers die aan AMS-IX hingen voor Cisco gemaakte sniffer draaide. Het grootste probleem (destijds) om middels een GRE-tunnel ergens de data te kunnen opslaan, ivm beperkte I/O resources.

Veel beheerders beschouwen appliances als gesloten systemen waar weinig fout mee kan gaan, terwijl het gewoon een dedicated servertje is (zo is Cisco zelfs begonnen overigens). Zodra er vanaf een switch/router iets gaande is hebben doorsnee beheerders het nakijken omdat ze buiten hun CLI, webinterface of network monitor tool niets meer kunnen. Terwijl memory en cpu resources (mits je die monitored) een duidelijk indicatie geven dat er iets fout zit op je appliances.

Verder is het niet knap om 2,5 miljoen brieven te sturen dat deze ze tot voor kort maandelijks met rekeningen. Ik neem aan dat ze een interne print afdeling hebben met de nodige capaciteit.

Verder als ze dat niet op 1 dag zouden kunnen doen, dan hadden ze een aantal dagen gehad tussen detectie en persbericht.

Het lijkt erop dat ze totaal niet in het belang van hun klanten hebben gedacht.
Een spastische reactie hebben getoond na pastbin berichtgeving, zonder de feiten te controleren.

En nu dat het lijkt dat database dump niet van hun blijkt te zijn (wat iemand van betreffende afdeling in een uurtje had kunnen vaststellen...) ze opgelucht ademhalen omdat ze geen kosten hoeven te maken en per mail iedereen nieuwe wachtwoorden gaan sturen.

Dit is geen technische verstoring, dit was het resultaat van slechte management keuzes naar aanleiding van nalatig en achterstallig beheer. Er is een verschil dat er iets stuk gaat een kabel kapot gegraven is etc.. en dit verhaal.
Lijkt wel een casus van een Rechten-studie ;-)
En dat domein is dan bij KPN geregistreerd en gehost, ik heb ze er tussen zitten hoor.
Die dat al sinds 2002 zo doen. Uitgaand blijven ze KPNMAIL gebruiken...al dan niet als relay....want KPN zet meestal poort25 dicht....zucht.

Maar een eigen Kerio Zimbra of Mailenable servertje kost idd niet meer zoveel.
1 keer goed inrichten, 1 gebruiker instrueren en klaar.

Wel raar trouwens dat KPN nog altijd Exchange2003 aan haar klanten aanbied.
Die wordt bijna 10 jaar...
Ondersteuning Exchange2003 tot 14-4-2009. Maar uitgebreide ondersteuning van Exchange Server 2003 Enterprise Edition tot 8-4-2014.

http://support.microsoft.com/lifecycle/?p1=1773

SSL support zal wel goed zijn als KPN dat ging gebruiken

[Reactie gewijzigd door spaceone op 12 februari 2012 19:37]

SSL support zal wel goed zijn als KPN dat ging gebruiken
KPN en SSL gaat niet goed samen hoor, tenminste als het de bedoeling dat certificaat integriteit van de tunnel moet beschermen.

nieuws: KPN staakt uitgifte certificaten na ontdekking verdachte sporen
Exchange is toch een zakelijk product met de bijbehorende zakelijke dienstverlening? Heel anders dan de 'gratis' @kpnmail lijkt mij.
Mail komt binnen bij KPN op xxxxx.kpnxchange.com with Microsoft SMTPSVC(7.5.7601.17514). De volgende 3 server daarna zijn Microsoft SMTPSVC(6.0.3790.4675)

Bij https://webmail.kpnmail.nl/mail/ gebruikt KPN een Outlook Web Access Web client
Maar een eigen Kerio Zimbra of Mailenable servertje kost idd niet meer zoveel.
1 keer goed inrichten, 1 gebruiker instrueren en klaar.
Ja joh, ga lekker hobby bobben. Dat is zeker betrouwbaar. Ga je dan ook alle updates volgen iedere maand? Testen ( met een foute update heb je ook downtime ). Redundantie, want anders heb je downtime onder het updaten. Verder moet je in ieder geval een redundantie netwerk verbinding hebben, dus in de meeste gevallen kies je dan voor een co-locatie. Wil je echt de betrouwbaarheid halen van een Google Apps for Business, een Office Online, dan moet je in ieder geval 2 locaties hebben ( gesynchroniseerd ).

Of je neemt Google Apps voor 4 euro per gebruiker per maand ( http://www.google.com/apps/intl/nl/business/features.html ) en je hoeft je daar helemaal geen zorgen meer over te maken. Hoef je alleen nog te zorgen dat je een redundante internetverbinding hebt...
Vreemd dat dit meldpunt alleen voor KPN-klanten is.
Er zijn toch ook niet-KPN-klanten die hierdoor schade geleden hebben?

Denk maar eens aan bijv. een beurshandelaar die nu niet bereikbaar was.
Je hebt het over een klant van een beurshandelaar die die laatstgenoemde niet kon bereiken?

Die zal toch echt zijn schade bij de beurshandelaar moeten verhalen, die vervolgens weer de schade bij KPN zal moeten (proberen te) verhalen.

Overigens is indirecte schade sowieso meestal uitgesloten contractueel (dat mag ook wettelijk). KPN is haar klanten niet heel veel verplicht dus. Dit kan echter wel heel nuttig zijn als de dader van de BabyDump-hack ooit wordt gepakt. Die kan een enorme civiele claim aan z'n broek zien waarbij KPN m.i. best veel kans maakt om die zaak te winnen.
Overigens is indirecte schade sowieso meestal uitgesloten contractueel (dat mag ook wettelijk).
Ik denk dat je gevolgschade bedoelt. Dat wordt in de meeste algemene voorwaarden wel uitgesloten, maar of dat stand houdt is erg afhankelijk van de situatie.

Een belangrijke vraag daarbij is in hoeverre e.e.a. verwijtbaar is. Als je een ondeugdelijke kruik maakt en een baby brandt zich aan het hete water dan kun je daar als fabrikant voor aansprakelijk voor worden gesteld (De wet op de product aansprakelijkheid is namelijk geschreven naar aanleiding van dat geval).

Ook in dit geval is belangrijk in hoeverre KPN verwijtbaar heeft gehandeld. Als KPN zijn klantenbestand slecht beveiligd heeft en daardoor een dag zijn email dienst moet sluiten dan is de kans groot dat je gevolgschade kunt verhalen. Dat geldt ook als KPN zijn email dienst gesloten heeft op basis van ondeugdelijk onderzoek naar het lek. Als het lek, zoals het nu lijkt, ergens anders ligt dan lijkt de kans op verhaal al veel kleiner te worden.

Veel algemene voorwaarden sluiten dingen uit die in elk geval richting consumenten niet mogen. Zo staan in veel algemene voorwaarden zaken die in strijd zijn met de zwarte lijst (6:236 BW), de grijze lijst (6:237 BW) of de wet op de produkt aansprakelijkheid. Soms komt dat door het niet op tijd actualiseren van de voorwaarden als de wet wijzigt of onvoldoende juridische kennis. Maar veel bedrijven proberen het gewoon omdat de meeste klanten het toch niet weten.

Altijd belangrijk dus om scherp te blijven en eventueel deskundig advies in te winnen als een leverancier naar zijn algemenen voorwaarden verwijst. Dat iets daar in staat maakt het nog niet geldig namelijk.
Iets met kale kip en plukken...
Tenzij de hacker miljonair is maar dat lijkt me sterk...
Gevangenisstraf zit er waarschijnlijk wel in, als ze hem pakken en het een Nederlander is.
Hoevaak heb jij gehoord dat er iemand voor wet computer criminaliteit in Nederland gevangenis straf heeft gekregen?

Tot op heden hebben ze of een straf gehad die (toevallig...) net zolang was als voorarrest, aantal uurtjes schoffelen en heeft men in enkele geval getracht civiel rechtelijk schade verhalen. Resultaat van de tonnen claim bleef net aan 10.000 euro over.

http://zoeken.rechtspraak.nl/detailpage.aspx?ljn=BG5373

[Reactie gewijzigd door totaalgeenhard op 12 februari 2012 17:08]

Op een gegeven moment moet je een streep trekken. Het is denk ik ook een onmogelijke opgave om van alle individuen buiten KPN de schade vast te stellen.
Waarom zou KPN niet-klanten schade gaan betalen? Wettelijk slaat dat als een tang op een varken...
Dat vraag ik mij af.

Als ik een postzegel koop, dan ben ik de klant.
Vervolgens verstuur ik met deze postzegel een brief, die vervolgens niet aankomt bij de ontvanger, waardoor de ontvanger (die geen klant is) schade ondervindt.
Dan zal de klant de schade op jou verhalen, welke jij dan weer bij PostNL kan verhalen.
Als KPN een kabel van Versatel of BBNed doorgraven moeten ze ook zorgen dat die gemaakt wordt. Al zijn dat concurrenten en geen klanten van ze. Als iemand achterop jouw auto rijdt dan is hioj doorgaans aansprakelijk, ook al is het geen klant van je.

De vraag is of KPN de schade veroorzaakt heeft, niet of degene bij wie dat gebeurt klant van ze is. Het hebben van een overeenkomst is daarbij niet belangrijk.
De beurshandel ligt stil in het weekend. Geen recht op compensatie :)

[Reactie gewijzigd door F0nz0 op 12 februari 2012 20:57]

de KPN maildiensten waren ook gesloten op vrijdag naar ik meen. dan is de beurs wel open
wie gebruikt er dan ook een provider-account om zijn professionele zaken te regelen en tegelijkertijd baby-spullen te kopen :s

daarbovenop komt dat het mij nogal vreemd lijkt dat dit soort bewezen schadegevallen ook nog eens op de beperkt onderbroken dienstverlening kan worden afgeschoven, waarvoor hoogstwaarschijnlijk geen SLA's van toepassing zijn
Dus als ik het goed begrijp heeft KPN dit soort problemen niet afgedekt in hun algemene voorwaarden?

Of doen ze dit uit coulance?
I.p.v. dat iedereen de helpdesk gaat zitten bellen "ik heb schade geleden" is een centrale inventarisatie wel zo efficiënt.
Ze zullen de zaken dan achter af wel tegen de av/contract/sla aanhouden om te kijken wat werkelijk voldoet.
KPN zal bovendien naar de getroffen klanten een instructiemail sturen waarin de telecomaanbieder uitlegt hoe zij hun wachtwoord kunnen wijzigen.
De ervaring is alleen dat dit formuliertje NIET werkt. Gistermiddag geprobeerd maar zonder resultaat. Gisteravond (na een aantal uur dus) uiteindelijk kunnen inloggen op CSC (was 'niet bereikbaar wegens onderhoud... tssss) en de wachtwoorden handmatig gewijzigd.
idd, ik heb 4 accounts gewijzigd, volgens het formulier met succes. Maar moet nog steeds de oude wachtwoorden gebruiken. Kan dat niet helemaal volgen
Gewoon via MIJN KPN gedaan. Werkte gelijk.
Lijkt me een goed initiatief. Nu nog afwachten of het gaat werken zoals ze ongetwijfeld beloven en waar de gedupeerden op hopen.
Als het kalf verdronken is, dempt men de put.

Amateurisme bij KPN en de verschillende overheidsinstanties die hun assisteren druipt er vanaf.

Met name de mededeling dat ze wachtwoorden maar even gaan mailen.....

Alsof ze nu in eens een IDS er tussen hebben hangen die zal opmerken dat over de loop van 24 uur een botnet van +/- 2 miljoen accounts de mail met afzender HQ KPN heeft opgehaald.

Dit is geen incident want versies van Slowaris en Juniper OS laat duidelijk zien dat er structureel geen beheer heeft plaats gevonden. Dus vele sneeuwsporen van vele, voor degene die kennelijk zo veel herrie maakte dat KPN het op merkte, zullen "onzichtbaar" zijn geworden. (als het werkt blijf je er vanaf werkt alleen in een LAN omgeving goed...)

Maar wat dit incident laat zien is dat KPN ook niet met de hulp van de overheid verstandig "Alarmering and Incidente Response" procedure heeft cq kan doorlopen.

En dat is diep en diep triest. KPN is monopolist op het gebied van data en telefonie, ze heeft de meeste kabels in de grond bij ECHTE grote incidenten (cyberwar, cyber terrorisme etc..) kan KPN zelfstandig al niets en met hulp van overheid ook al niet.

Je zou kunnen stellen waarom KPN en de betrokken overheidsorganisatie niet worden vervolgt voor wat er NA detectie heeft plaatsgevonden, want naast nalatigheid is de meeste schade veroorzaakt door KPN + overheid.
Laat ze als compensatie de mailboxen maar eens vergroten, een 30MB mailboxje is wel heel karrig in 2012.
Financiele compensatie vind ik weer TE maar in de downtijd loopt mijn mailbox wel over de 30MB heen waardoor die propvol zit.
Dat gebeurt binnenkort ook. :)
Wel goed dat ze dit doen, k vind het wel een schandalige actie, oook in mijn nabije omgeving werd er veel last ondervonden van dit voorval. Ik snap dat ze het op deze manier goed proberen te maken.
Ze zouden bij alle klanten ten eerste een kleine compensatie kunnen geven in wat voor vorm dan ook met daarbij een nederig excuus brief die via de post verstuurd word en niet via de email.
Ik zal wel eens een voorbeeld willen zien van echte schade die is ontstaan door het niet beschikbaar zijn van e-mail. Er zijn immers ook alternatieve communicatiekanalen mogelijk. Als dingen echt belangrijk zijn kan je ook bellen of desnoods een koerier sturen (als een koerier te duur is kan de schade ook nooit omvangrijk zijn).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True