KPN: onderhoud gehackte systemen was 'niet optimaal'

KPN erkent dat het onderhoud van zijn systemen 'niet steeds optimaal' was. Eerder bleek dat KPN niet alle software had bijgewerkt, waardoor de hack op het bedrijf een peuleschil zou zijn geweest. De omvang van de hack is nog altijd niet duidelijk.

KPN-hack Dat schrijft het bedrijf in een verklaring. "Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel", schrijft een topman van KPN, Joost Farwerck, in de verklaring. "Door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT-systemen niet steeds optimaal is geweest", vervolgt hij.

Vorige week bleek dat een groep hackers claimde dat de hack op het bedrijf 'kinderlijk eenvoudig' was doordat de servers verouderde software draaiden. KPN belooft nu om sneller te investeren in de beveiliging van zijn systemen, evenals in de modernisering ervan.

Vorige week woensdag werd bekend dat KPN was getroffen door een of meer hackers en dat die toegang hadden tot privégegevens van KPN-klanten. De precieze omvang van de hack is echter nog altijd onduidelijk. Vrijdag schreef Tweakers.net dat de hackers waren doorgedrongen tot een core-router van KPN, waardoor het internetverkeer van KPN-klanten had kunnen worden onderschept. Ook konden de aanvallers naar eigen zeggen KPN-klanten afsluiten van het internet en digitale telefonie.

Eveneens op vrijdag werden op het internet privégegevens gepubliceerd waarvan werd geclaimd dat ze van KPN-klanten afkomstig waren. Daarop haalde KPN uit voorzorg zijn e-maildienst offline. Achteraf bleek echter dat de gegevens afkomstig waren uit een andere database, van de website Baby-Dump.nl. Die werd eerder gehackt, maar die hack had niets te maken met de KPN-hack.

Dat betekent echter niet dat er geen privégegevens van KPN-klanten zijn buitgemaakt bij de hack. KPN gaf eerder aan geen bewijs te hebben dat dat was gebeurd, maar wilde niet garanderen dat er geen privégegevens zijn ontfutseld.

IT-banen

Reacties (57)

Verwijderd 13 februari 2012 11:09

Zolang klanten Internet willen tegen het laagste tarief dan is dit een gevolg, ergens moeten de kosten voor beveiliging, updaten, vervangen van betaald worden. Het is naïef om te denken dat het bij andere "goedkope" aanbieders het beter is.

De hackers hebben aangegeven dat ze toegang hadden tot de core router, maar deed werkelijk verkeer van 1 klant aftappen is dan nog niet zo makkelijk.

Uiteraard is het schokkend dat dit kan gebeuren maar niet totaal onverwachts. En het nieuws is er dat een andere providers zelfs geen wachtwoord gebruikte voor root toegang, ben benieuwd welke aanbieder dit is.

Xudonax @Verwijderd • 13 februari 2012 11:22

KPN is nu niet echt de goedkoopste, ISPs als Tele2 en Telfort zijn nóg goedkoper. Ik vraag me dus af voor hoevere het "voor een dubbeltje op de eerste rang willen zitten" hier van toepassing is.

TrailBlazer @Xudonax • 13 februari 2012 11:26

psst Telfort is van KPN

Xudonax @TrailBlazer • 13 februari 2012 12:02

Dat is zeker waar, maar Telfort is niet gehacked, het zijn de systemen van KPN die gehacked zijn

En in ieder geval toen ik er nog werkte waren de systemen echt niet die van KPN.

[Reactie gewijzigd door Xudonax op 23 juli 2024 20:07]

Ford Prefect @Xudonax • 13 februari 2012 12:42

Herstel, het zijn de oude WXS systemen die gehacked zijn :-)

Anyway, het is natuurlijk ook wel ergens logisch dat een topman niet gaat zeggen dat het onderhoud aan hun systemen uitermate slecht is. Dat zou een beetje juridische zelfmoord zijn, ieder bedrijf die zaken doet met KPN zou ze dan gaan aanklagen, op deze manier kunnen ze nog proberen om iets van de schade te beperken.

Ik denk dat iedere tweaker die in dit soort gevallen/context de woorden 'niet optimaal' leest, hij wel begrijpt dat ze eigenlijk willen zeggen 'heel slecht'.

gfeikens @TrailBlazer • 13 februari 2012 12:07

Is gekocht door KPN in 2011, maar dat wil niet zeggen dat alles meteen op dezelfde systemen draait. Dat overzetten kan maanden in beslag nemen.

Planck

@Verwijderd • 13 februari 2012 21:17

Zolang klanten Internet willen tegen het laagste tarief dan is dit een gevolg, ergens moeten de kosten voor beveiliging, updaten, vervangen van betaald worden.

KPN heeft gewoon 1,5 miljard pure winst gedraaid vorig jaar hoor over een omzet van 13 miljard - is toch een marge van 12%. Daarvoor moeten die servers toch best up to date gehouden kunnen worden denk ik.

Bigg Balls 13 februari 2012 10:47

Na deze fail en schade spreek je toch niet over: "niet optimaal"... Zeg eerlijk dat het gewoon slecht was, erg slecht!

KPN blijft nog altijd reageren als de monopolist van de overheid. Jammer maar helaas.

HarmoniousVibe @Bigg Balls • 13 februari 2012 11:54

Tsja. Een beveiligingslek kan voorkomen. Het is alleen jammer dat dit blijkbaar zo ontzettend makkelijk was. En wat nog het meest trieste is in de episode, is de klaarblijkelijke onkunde van KPN. Hun 'webcare'-divisie zegt op twitter het volgende:

quote: https://twitter.com/#!/KPNwebcare/status/168371471675174913
@johanlorier Wachtwoorden van KPN worden versleuteld met UTF8 ^BL

Na een storm van gehoon en kritiek komt er een vervolgreactie:

quote: https://twitter.com/#!/KPNwebcare/status/168424351954243584
Eerder is gesproken over UTF8 versleuteling, dit is onjuist. We maken gebruik van een set aan versleutelingstechnieken waar UTF8 slechts een klein onderdeel van is. Uit veiligheidsoverwegingen delen we niet hoe deze set in elkaar zit.

Sorry hoor, maar dan heb je jezelf echt gediskwalificeerd. Als er dan nog gesproken was over 'encoding' of codering hadden ze in strict technische zin nog gelijk gehad, maar versleuteling, geen sprake van.

[Reactie gewijzigd door HarmoniousVibe op 23 juli 2024 20:07]

Zoefff @HarmoniousVibe • 13 februari 2012 12:12

Het lullige is natuurlijk dat de technici bij KPN echt wel weten hoe de vork in de steel zit, of in ieder geval zullen weten dat UTF8 weinig met versleuteling te maken heeft.

Een helpdesk-medewerker, waarschijnlijk met weinig technische achtergrond, heeft in eerste instantie de fout gemaakt om UTF8 te noemen in combinatie met versleuteling. Ongetwijfeld een klok-klepel verhaal. De rest van de medewerkers heeft nu bovenstaande mededeling in een briefing meegekregen, en ik kan het ze niet kwalijk nemen dat ze verder weinig inhoudelijke kennis van zaken hebben.

De manager die de boel aanstuurt zal ook opdracht hebben gekregen van KPN om te melden dat alle wachtwoorden versleuteld worden opgeslagen, maar mist daar blijkbaar ook context / kennis om dit op de juiste manier te verwoorden.

Voor mensen met kennis van zaken komt het knullig over. Voor de gemiddelde KPN klant zal het geruststellend werken om te lezen dat ze 'iets' met versleuteling doen. Welke term de KPN daarbij gebruikt zal ze een worst wezen

[Reactie gewijzigd door Zoefff op 23 juli 2024 20:07]

totaalgeenhard @HarmoniousVibe • 13 februari 2012 12:08

Humor.

Zeggen de MD5 dan komt er iemand over succesvolle collision attack.

Het kan nooit goed zijn. Security is inherent aan elk proces en als er iets niet te beveiliging is omwille van gebrek aan techniek, inleveren op functionaliteit of simpelweg omdat het te duur is (iedereen SSL webmail geven kost veel geld aan resources.) dient het een te managen wel overwogen rest-risico te zijn waarvan je de gevolgen (en kosten) van kunt overzien.

Tot op heden blijkt gewoon hoe incompetent ze zijn en deze "topman" heeft niet door hoe achterlijk hij overkomt. Wie is de doelgroep van die opmerking? Aandeelhouders?

Je zult nu maar als beheerders of lid van KPN-CERT bij KPN werken..... ik vraag me af of toekomstige werkgevers naar hun rol in deze major-fail is geweest.

Overigens is dit niet de eerste keer dat KPN problemen heeft. Voorgaande keren lieten ze ook al zien van hun incompetentie om dingen te down-playen en naar waarheid te communiceren.

Oyxl @Bigg Balls • 13 februari 2012 11:39

Juist binnen zelfstandige bedrijven is het makkelijker om de schuldvraag te ontlopen, omdat het bedrijf niet langer aan politiek gebonden is.

Hetzelfde met de NS. Toen het onderdeel was van de overheid, liepen er 500 monteurs te veel rond, maar alles reed wel op tijd. Onder mom van de prijs omlaag en de service omhoog is het vervolgens zelfstandig geworden en we hebben gezien waar dat toe leidt. Kosten omhoog, bezuinigd op onderhoud en prijzen omhoog om die kosten te drukken.

Op het moment lopen er waarschijnlijk meer managers dan technici rond bij zowel KPN als de NS en die komen met dit soort verklaringen naar het publiek.

ReneX @Bigg Balls • 13 februari 2012 10:54

Quote: "niet optimaal"
Lees: "geen"

Tarkin @ReneX • 13 februari 2012 11:15

De mensen die dit beweren hebben overduidelijk nog niet op een telecommunicatienetwerk geprogammeerd of gewerkt. Het is niet de standaard java of C taal dat je daar tegenkomt hoor.

plus dat het waarschijnlijk ook een iets loggere bedrijfsstructuur is (dat kan je al eens voorhebben met grote bedrijven)

MSalters

Politiek en recht

@Tarkin • 13 februari 2012 15:15

De mensen die dit beweren hebben overduidelijk nog niet op een telecommunicatienetwerk geprogammeerd of gewerkt. Het is niet de standaard java of C taal dat je daar tegenkomt hoor.

Haha, je weet waar C en C++ vandaan komen? AT&T Bell Labs. De allereerste commerciele toepassing van C was in de AT&T 5ESS telefoonswitch, en die wordt tot op de dag van vandaag gebruikt.

TvdW @Tarkin • 13 februari 2012 12:05

Een slechte programmeertaal hoort geen argument te zijn voor een slechte beveiliging.

Verwijderd @Tarkin • 13 februari 2012 12:09

Dan heb jij waarschijnlijk heel lang geleden wat gedaan in een operatoromgeving. Hoogstens op de switches wordt nog met een specifieke telecomtaal gewerkt, maar het gros van de system zijn gewone IT systemen, waar in "gewone" talen wordt geprogrammeerd.

Snoitkever @Tarkin • 13 februari 2012 12:41

Dit heeft niks met programmeertalen te maken, maar met het updaten van software naar de laatste versies. Dat nalaten is gewoon heel kwalijk gedrag van een bedrijf van de grootte van KPN.

South_Styler 13 februari 2012 10:48

KPN, KPN, KPN....

Ze zeggen weinig en wat ze zeggen is niet eens informatief. Wat ik me eigenlijk af vraag hoe Baby-Dump en KPN in relatie met elkaar staan. Dat is me nog steeds niet duidelijk. Hoe kun je via die site bij gegevens van KPN komen?

Narev @South_Styler • 13 februari 2012 10:52

Je kan als je KPN kwaad wil doen toch gewoon een willekeurige site die niet zo goed beveiligd is hacken en vervolgens een filter leggen op alle @kpn email adressen. Wanneer je deze dan lekt dan lijkt het net alsof KPN de zaakjes niet op orde heeft.

Wat ik me meer afvraag is in hoeverre de hack daadwerkelijk een "peuleschil" was. Ik sluit niet uit dat KPN maar al te graag de hack zal af doen als zo makkelijk was het niet maar dat aan de andere kant de hackers het misschien makkelijker laten lijken dan het is.

Is er ook wat bekend over waar de zwakke punten zich precies bevonden en wat voor soort hack het geweest is?

TweakOverflow

@South_Styler • 13 februari 2012 10:49

Dat kan je als site niet, maar de database filteren op kpnmail.nl is niet zo moeilijk. Verder waren de gegevens zelf ingegeven door de klanten tijdens het aanmaken van hun account.

Dabono @South_Styler • 13 februari 2012 10:51

Het ging om gegevens die steeds hetzelfde zijn: NAW-gegevens, telefoonnummers, e-mail adressen. Dan maakt het niet uit of je Babydump.nl of kpn.com hackt, de database bevat dezelfde info.

Helaas gold dat in veel gevallen ook voor het gebruikte wachtwoord: voor een webshop gebruikte men gewoon hetzelfde ww als voor hun e-mail.

shytah @South_Styler • 13 februari 2012 10:58

Veel mensen gebruiken het wachtwoord van hun e-mailaccount voor het aanmaken van een account op een webshop. Sommigen doen dit uit gemak, anderen denken juist DAT ze die gegevens moeten invullen om een account aan te kunnen maken.
Waarschijnlijk heeft de hacker de gegevens gefilterd van alle KPN klanten om het te laten lijken alsof de gegevens bij KPN vandaan kwamen.

leroydev @South_Styler • 13 februari 2012 10:49

Het hoeven niet persé dezelfde gegevens te zijn, ze stonden alleen in exact dezelfde volgorde..

Edit:
Waarom nou weer ongewenst? Ik probeer antwoord te geven op iemands vraag?
Rare mods hier op tweakers.net..

[Reactie gewijzigd door leroydev op 23 juli 2024 20:07]

Verwijderd 13 februari 2012 18:09

Misschien is de communicatie vanuit KPN naar de klanten niet 100%, maar beter rigoreuze maatregelen om de hackers te dwarsbomen dan helemaal niets doen. Dat de klanten dan een dag of 2 geen mail hebben (hoeveel hebben er trouwens niet meerdere alternatieve mailaccounts buiten de KPN-lijn ?), is vervelend, maar zo vaak komt dit ook weer niet voor. Ben zelf inmiddels 30 jaar KPN-klant en dit is echt de eerste keer dat ik dit ervaar. Bij andere providers zijn veel vaker storingen, alleen communiceert en publiceert men dit wat "beter". Wat is nu belangrijker ? Een goed functionerend technisch geheel of een marketingmachine ?

bvk @Verwijderd • 13 februari 2012 19:24

Om de hackers te dwarsbomen? Volgens mij zijn hier alleen maar de klanten van KPN gedwarsboomd in het dagelijks gebruik van hun mail abonnement en lachen de hackers zich alleen maar rot...

Misschien is het dertig jaar goed gegaan, maar misschien is dit ook het begin van veel meer komende ellende!

Beiden zijn belangrijk, zowel een goede IT infra alswel goede communicatie. KPN heeft bij beiden gefaald.

Verwijderd @bvk • 13 februari 2012 22:27

is het KPN aan te rekenen dat ze het zekere voor het onzekere nemen? Ze hadden al de statement gemaakt dat er geen persoonlijke gegevens ontvreemd zijn. naar nu blijkt, is dat wellicht waar, maar vervolgens komt er een dump, van gegevens die afkomstig lkijken te zijn van KPN.

Zou jij dan eerst communiceren naar de klant dat er een (mogelijk) probleem is, wachten tot iedereen op de hoogte is, en dan pas technische maatregelen treffen om je klanten te beschermen? Dat zou hoogst onlogisch zijn, en er alleen voor zorgen dat je jezelf nog ongeloofwaardiger maakt.

Daar komt nog bij dat KPN nog altijd een groot doelwit is, waarbij argumenten als 'log oud staatsbedrijf' nog steeds een slecht onderbuik gevoel weergeven, en je kan daarom als bedrijf nooit iets goeddoen. Je bent wat je ook doet, altijd de schuldige.

Mocht hetzelfde gebeurt zijn bij XS4All, of eender ander van de 'beter gewaardeerde' providers', dan was er lang niet zo breed aan gemeten, en was de conclusie geweest dat de provider het goed afgehandeld had. Dat wil niet zeggen dat het geen groot nieuws zou zijn, maar er zou een stuk minder 'zie je wel' geroepen zijn.

Verwijderd 13 februari 2012 12:02

" niet optimaal" . jaja, wat kan je anders zeggen. Ik ben wel heel erg benieuwd wat de OPTA tegenkomt in haar onderzoek.

"Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel" dit mag natuurlijk geen excuus zijn maar moet juist een reden zijn om als MVO er bovenop te zitten.

Ford Prefect @Verwijderd • 13 februari 2012 12:46

Ik weet het niet helemaal zeker maar volgens mij kijkt de OPTA niet echt naar de beveiliging van systemen maar meer of de wet- en regelgeving wel zijn nageleefd. Er is nergens volgens mij een wet waarin staat hoe een telecom provider zijn beveiliging technisch moet regelen.

De OPTA zal hooguit iets vinden over de beveiling i.c.m. bijvoorbeeld de bescherming van persoons gegevens.

Verwijderd @Ford Prefect • 13 februari 2012 13:24

bron nu.nl
Telecomwaakhond Opta gaat onderzoeken of KPN de zorgplicht heeft geschonden, laat een woordvoerster weten. Uit het onderzoek moet blijken of het bedrijf genoeg maatregelen heeft genomen om ervoor te zorgen dat de beveiliging op orde is. Opta kan eventueel sancties opleggen.

tweaker2010 13 februari 2012 11:25

KPN belooft nu om sneller te investeren in de beveiliging van zijn systemen, evenals in de modernisering ervan.

Dus dit is gewoon een kwestie van geld neem ik aan? En wie mag dit gaan betalen...
De klanten van KPN willen trouwens ook nog schadevergoeding, dus de tarieven zullen wel weer flink omhoog gaan.

Verwijderd @tweaker2010 • 13 februari 2012 11:51

Hoezo de tarieven omhoog??? Dividend omlaag lijkt me een logischer keuze, want blijkbaar zijn de winsten van afgelopen jaren op een niet duurzame wijze behaalt. En de aandeelhouder heeft hieraan verdient, terwijl de klanten een deel van hun privacy verloren hebben...

SCIxX @tweaker2010 • 13 februari 2012 12:08

Het is geen liefdadigheidsinstelling, dus het geld moet inderdaad ergens vandaag komen.

Wat tw33ty zegt klopt helemaal, heel leuk dat het lek nu bij KPN gevonden is, maar zoals we al eerder hebben gezien (sony en nu recentelijk ook microsoft) zijn heel veel bedrijven slecht beveiligd, het zou me dan ook niks verbazen als hackers het bij een andere willekeurige provider hadden geprobeerd dat dit ook gelukt was.

MSalters

Politiek en recht

@tweaker2010 • 13 februari 2012 15:19

Aandeelhouders. De huidige KPN tarieven zijn zo gesteld dat ze niet al te veel klanten verliezen aan Tele2/UPC/etc. Kosten spelen daarbij geen rol.

Als je dus een kostenstijging zoals deze laat volgen door een prijsstijging, dan lopen de klanten weg. Dat is niet het geval bij algemene kostenstijgingen (bijvoorbeeld van lonen of elektiriciteit), omdat de concurrenten daar evenveel last van hebben.

leroydev 13 februari 2012 10:47

Dit is opzich ook best wel 'captain obvious',
Waarschijnlijk als alle software up-to-date was geweest was er niks aan de hand geweest..

Verwijderd @leroydev • 13 februari 2012 11:31

`Klopt', configuratiefouten zijn gelukkig altijd uitgesloten bij software die bij de tijd is... *kuch*

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:07]

Verwijderd @leroydev • 13 februari 2012 12:10

Dat is wel een gewaagde bewering. Ik zou eerder zeggen "Waarschijnlijk als alle software up-to-date was geweest, dan was er een kans geweest dat het lastiger was om de boel te hacken".

rinusnl 13 februari 2012 10:48

Ene kant zeg dat het niet goed is, maargoed op welke plek is je gegevens wel beschermd vraag ik me af?

(offtopic)
in de ouderwetse telefoonboek stond toch ook je telefoon en naam?

arjankoole

Beveiliging
Internettoegang

@rinusnl • 13 februari 2012 11:47

in de ouderwetse telefoonboek stond toch ook je telefoon en naam?

maar niet je inlognaam en wachtwoord voor 1000 sites

Verwijderd @arjankoole • 13 februari 2012 12:11

Maar dat laatste kan je KPN niet verwijten.

Flozem @Verwijderd • 13 februari 2012 12:33

Hetzelfde wachtwoord gebruiken voor iedere site is natuurlijk niet slim. Helaas gebruiken de meesten onder ons ook dezelfde username.

Als je email account gekraakt is, is het natuurlijk een fluitje van een cent om op basis van je mailbox uit zoeken welke webshops je bezoekt. Even een password reset aanvragen, en kassa...

Verwijderd @Flozem • 13 februari 2012 21:32

Hoezo kassa?, Je kunt alleen inloggen bij een webshop, maar betalen zal je toch echt via je eigen bank moeten doen, bij de Rabobank lukt dit echt niet alleen met een username en password.

Flozem @Verwijderd • 13 februari 2012 23:26

Bij bol.com en Wehkamp bijvoorbeeld, kun je kiezen voor betaling per acceptgiro. Gewoon een kwestie van aflever adres wijzigen en verzendbevestiging onderscheppen...

Dit beperkt zich niet tot de huis-tuin-en-keuken webshops. Men zou ook zomaar de login gegevens / product keys van enkele sites kunnen krijgen. Steam, ESET, Sony Vegas... om een paar te noemen.

[Reactie gewijzigd door Flozem op 23 juli 2024 20:07]

Snoitkever @arjankoole • 13 februari 2012 12:43

En belangrijker, je adres, geboortedatum, bankrekeningnr, enz.

Verwijderd @Snoitkever • 13 februari 2012 21:36

Die zijn overal bekend als een al een aankoop heb gedaan, of maandelijkse afrekeningen hebt.
geboortedatum , adres ect... alleen bij een sollicitatiebrief al in de wereld gebracht.
Totaal onbelangerijk dus.

Verwijderd 13 februari 2012 12:13

Even een geinige vraag: het is natuurlijk hartstikke gaaf dat dit bij KPN is gebeurt, maar durven de beheerders onder de Tweakers hun hand ervoor in het vuur te steken dat het bij hun wel goed is geregeld, en dat als er dan een keer wordt ingebroken de processen zo optimaal zijn afgestemt, dat dit binnen no-time wordt gedetecteerd en opgelost?

Flozem @Verwijderd • 13 februari 2012 12:35

Sterker nog: ik hoorde vanmorgen op de radio dat de miljoenen gebruikersgegevens bij een andere (nog niet nader genoemde) provider ook op straat liggen...

Verwijderd 13 februari 2012 12:53

"niet optimaal", right. Ze hebben wel gevoel voor humor bij KPN

En dat de ontwikkelingen zo razendsnel gaan zou juist een kans moeten zijn voor een grote speler als KPN. In plaats daarvan wenden ze het aan als excuus voor hun falen.

Als ik al klant van KPN was zou ik dat nu beëindigen, ze zijn veel te log geworden.

mark14 @Verwijderd • 13 februari 2012 18:31

Ik vraag me wel eens af hoeveel mensen die hier van moord en brand schreeuwen wel eens een server gehad hebben met de nodige maatsoftware erop.

Er is altijd een afweging tussen updates en dingen mogelijk stukmaken of de oudere versie blijven draaien.

Op de nodige servers waar code op draait moet bij iedere update weer het een en ander getest worden en dat kost tijd en dus ook geld.

Ik begrijp dat er een gulden middenweg in gevonden moet worden maar zo afgeven tegen KPN is erg makkelijk zonder dat we precies weten:
- van wanneer de bug is gevonden
- hoeveel moeite het kost om te updaten
- wat de bug is
- waarom een extra veiligheidsvoorziening het niet beschermde

Hopelijk neemt de Opta een verstandige onderzoekspartij in de armen die zich niet laat leiden door het gezever van de gemiddelde Nederlander en tweaker.

If it ain't broke don't fix.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (57)

Sorteer op:

Weergave: