Wie een zakelijke glasvezelaansluiting van KPN had, kon op een deel van het interne netwerk van de internetprovider komen. Apparatuur van KPN die dat moest voorkomen, bleek te omzeilen. Op het interne netwerk waren wachtwoorden van switches en routers te vinden.
Door de glasvezelkabel van KPN rechtstreeks op een switch aan te sluiten, in plaats van op apparatuur van KPN, kon worden gekeken op het interne netwerk. Daarna konden servers op het interne KPN-netwerk worden bereikt, die antwoord gaven op verzoeken. Normaliter hoort het interne management-netwerk niet beschikbaar te zijn voor klanten. Dat blijkt uit het rapport dat de anonieme vinder van het lek heeft opgesteld en dat Tweakers uit anonieme bron heeft ontvangen.
Op één interne ftp-server, die voor iedereen op het interne netwerk toegankelijk was, waren wachtwoorden van duizenden routers, switches en netwerkapparatuur te vinden die met verouderde encryptiemethoden waren versleuteld en daardoor in luttele seconden waren te achterhalen. Daardoor zou het in theorie mogelijk zijn geweest om internetverkeer van KPN-klanten af te luisteren. Ook waren de dns-servers van KPN te misbruiken voor ddos-aanvallen en waren 'sommige ip-adressen' op het netwerk 'overduidelijk bestemd' voor het beheren van routers bij klanten. Onduidelijk is of die verbindingen waren te misbruiken, bijvoorbeeld voor het flashen van modems van klanten.
KPN erkent het beveiligingsprobleem en heeft de beveiliging inmiddels verbeterd, stelt het bedrijf. Wel stelt het bedrijf dat er 'geen impact is geweest voor de vitale infrastructuur' en dat er 'geen klant- of persoonsgegevens in het geding zijn geweest'. De onderzoeker heeft het probleem in juli via het Nationaal Cyber Security Centrum gemeld bij KPN volgens de responsible disclosure-procedure van het bedrijf; sindsdien is KPN bezig geweest met het oplossen van het probleem. Volgens de onderzoeker die het probleem vond, gaat het niet zozeer om een bug, maar meer om een beveiligingsprobleem.
Volgens het onderzoeksrapport had een kwaadwillende 'flinke schade kunnen toebrengen' aan de infrastructuur van KPN. Het is niet duidelijk hoe ver de impact daarvan zou gaan. KPN heeft meerdere netwerken: in dit geval ging het waarschijnlijk om wholesale ethernet access services waartoe de onderzoeker toegang had, maar dat is niet het KPN-netwerk waarop de meeste klanten zijn aangesloten.
Triviaal te misbruiken was de kwetsbaarheid niet: er was een zakelijke wholesale-glasvezelaansluiting voor nodig. Het huren van apparatuur voor een dergelijke aansluiting alleen al kost 2000 euro per maand, nog los van de kosten voor de daadwerkelijke verbinding.
De vinder van het lek, die de kwetsbaarheid ontdekte op de aansluiting in het gebouw van hackerspace Nurdspace in Wageningen, schrijft in het onderzoeksrapport dat hij blij is met de manier waarop KPN en het NCSC op zijn melding hebben gereageerd. Tegelijkertijd is het zogenoemde 'ethische hacken' nog steeds een strafbaar feit, benadrukt hij. Zelfs als een bedrijf geen aangifte doet van hacken, kan het Openbaar Ministerie alsnog vervolging instellen. "Dan moet je maar hopen dat het goed afloopt", aldus de onderzoeker.
KPN-woordvoerder Maurice Piek zegt blij te zijn met het responsible disclosure-programma, waarmee beveiligingsproblemen kunnen worden gemeld zonder dat een ethische hacker het risico op vervolging loopt. "Dit geeft aan dat responsible disclosure werkt", aldus Piek. "Met deze melding hebben wij het systeem verder kunnen beveiligen."
Begin vorig jaar bleek dat een destijds zeventienjarige jongen had ingebroken op het netwerk van KPN, en daarmee toegang had tot de core-routers van KPN, waardoor internetverkeer zou kunnen worden onderschept. In juni werd de hacker veroordeeld tot een taakstraf en een korte celstraf.