KPN gaf klanten zakelijke voip-dienst zelfde wachtwoord

KPN heeft een tijdlang gebruikers van zijn zakelijke voipdienst ÉÉN hetzelfde wachtwoord gegeven. Om hoeveel accounts het precies gaat, is niet precies duidelijk; KPN houdt het op een 'specifieke beperkte groep'.

KPNVolgens Jurgen Greven van ict-dienstverlener Creative Tools, die het beveiligingsprobleem ontdekte, lukte het om bij alle KPN ÉÉN-accounts in te loggen met het wachtwoord 'Qwerty=12'. KPN bevestigt dat een groep gebruikers hetzelfde wachtwoord heeft gekregen, maar ontkent dat dat voor alle gebruikers gold. "Het gaat om een specifieke, beperkte groep", zegt woordvoerder Maurice Piek, die echter weigert aan te geven om hoeveel accounts het precies gaat.

Gebruikers konden het standaardwachtwoord wel wijzigen, maar KPN spoorde ze er niet toe aan, waardoor veel mensen het wachtwoord niet veranderden. Met het standaardwachtwoord kon Greven inloggen op de zakelijke beheeromgeving van ÉÉN. Die beheeromgeving geeft toegang tot de accounts van medewerkers en de belhistorie. Ook was het mogelijk om te bellen.

Inmiddels heeft KPN alle wachtwoorden gereset. De telecomgigant wil niet aangeven waar het beveiligingsprobleem precies zat. Verder klaagt Greven dat hij niet goed op de hoogte is gehouden nadat hij het lek had gemeld; pas weken later vertelde KPN dat het probleem was opgelost, toen Greven daar zelf naar informeerde. Volgens KPN had de 'informatievoorziening inderdaad beter gekund'. "We zijn hem heel erkentelijk voor het melden van dit probleem", aldus woordvoerder Piek.

Door Joost Schellevis

Redacteur

Feedback • 30-04-2014 14:12 55

30-04-2014 • 14:12

55

Lees meer

KPN verhoogt databundels zakelijke abonnementen
KPN verhoogt databundels zakelijke abonnementen Nieuws van 1 juni 2015
Lek in KPN Experiabox liet aanvaller modem-instellingen aanpassen
Lek in KPN Experiabox liet aanvaller modem-instellingen aanpassen Nieuws van 29 januari 2015
KPN: geen bewijs voor spionage op netwerk door Britten of Amerikanen
KPN: geen bewijs voor spionage op netwerk door Britten of Amerikanen Nieuws van 13 januari 2014
Ethische hacker had toegang tot intern netwerk KPN
Ethische hacker had toegang tot intern netwerk KPN Nieuws van 18 november 2013
Telecombedrijven ontvangen 75 meldingen beveiligingsproblemen van hackers
Telecombedrijven ontvangen 75 meldingen beveiligingsproblemen van hackers Nieuws van 5 november 2013
Onderzoekers kraken dsl-modem KPN op afstand
Onderzoekers kraken dsl-modem KPN op afstand Nieuws van 11 april 2013
Meer producten en artikelen
Netwerk

Reacties (55)

-Moderatie-faq
55
52
37
4
0
5
Wijzig sortering
TonnyTonny 30 april 2014 16:55
KPN gebruikt dit wachtwoord volgens mij standaard overal.

KPN Business ADSL: Ook hetzelfde default wachtwoord.
Zelf geconstateerd op 3 verschillende lijnen in de periode 2007 t/m 2012.
Niet alleen op account, maar ook op de meegeleverde routers.
jurgengreven 30 april 2014 17:39
Inmiddels ben ik wel netjes te woord gestaand door KPN; beetje laat maar toch. Blijft jammer dat er zo laks met beveiliging wordt omgegaan. :(
Ook moet gezegd worden dat KPN EEN een mooi product is waar veel bedrijven een hoop gemak en (financieel) voordeel van kunnen hebben.
Bij een relatie van mijn bedrijf Creative Tools, waar we KPN EEN geïmplementeerd hebben, heeft het een besparing opgeleverd van ruim 40% op de belkosten en is de terugverdientijd maar een paar maanden. :)
Dus als de beveiliging helemaal op orde is, zou ik het zeker aanbevelen!
Tridec @jurgengreven30 april 2014 22:13
Vind ik echt een tof reactie! Wel de problemen aankaarten, maar gelijk ook de positieven melden. Geweldig!
xbeam @jurgengreven1 mei 2014 07:23
Die zelfde besparing + meer had je kunnen halen met een goeie PBX .dan had je klant maar 1 keer hoeven inverteren en geen mannelijkste abbo kosten gehad voor KPN een/ one. Maat ja dat wil jij als kon partner niet omdat je KPN EEN maandelijks een percentage over het bel volume krijgt. Waardoor je blijft verdienen zolang hij niet over stapt.
Bij andere providers krijg je normaal alleen afsluit fee
twilex 1 mei 2014 14:24
Wat je ook bedenkt, hier is geen excuus voor.

Afgezien van het 'share' gehalte 8-) |:( is er tevens voor een populair wachtwoord gekozen.
'qwerty' staat in de top 10 van veelvoorkomende wachtwoorden, het zou dan natuurlijk ook heel onverstandig geweest zijn om erg van zo'n populair wachtwoord af te wijken...
Aan de andere kant begrijp ik best dat zo'n wachtwoord dat je overal voor gebruikt makkelijk moet zijn te onthouden...
Toch denk ik dat 'WijZijnOngelooflijkeSukkelsEnNemenBeveiligingNietSerieus=1' als wachtwoord beter en moelijker te raden was geweest, maar ik kan het natuurlijk ook mis hebben... ;)
beko1997 30 april 2014 14:33
Toch heeft KPN vaak problemen met wachtwoorden, zo heb ik laats voor de buren contact met de klantenservice moeten opnemen, toe moest IK hun het persoonlijke wachtwoord geven. Dit terwijl er door allerlei bedrijven juist wordt gezegd dat een werknemer nooit naar een wachtwoord zou vragen. Van een groot bedrijf als KPN kun je toch wel verwachten dat ze rekeninghouden met veiligheid...
miser @beko19971 mei 2014 00:23
Hier is wel een verschil, bedrijven bellen nooit naar hun klant met de vraag mag ik uw wachtwoord even.

Als jij hen belt kan dat wel, je weet wie je aan het bellen ben (mag ik hopen), en als het goed is kunnen zij ook jouw wachtwoord niet zien. Vaak kunnen ze ook niet zomaar even in je gegevens browsen i.v.m. privacy (lijkt me). Los hiervan hebben ze wel meer debacles gehad dat kan je hier op Tweakers wel terugvinden, maar wat jij beschrijft lijkt me er geen.
beko1997 @miser1 mei 2014 11:43
Het is inderdaad zo dat ik weet met wie ik bel, maar veel mensen hebben maar 1 wachtwoord voor al een accounts op het internet. (is ook niet goed, dat weet ik, maar ze hebben dat nou eenmaal)

Mij lijkt dat ze hun systeem prima kunnen aanpassen zodat mensen van de helpdesk met 1 druk op de knop via hun account kunnen inloggen in dat van een klant. Dan is er geen wachtwoord nodig van een klant, ik vind het zelf persoonlijk niet professioneel over komen.
Aijt 30 april 2014 14:16
Toch wel zorgelijk dat het in deze tijd nog voorkomt. Ook zorgelijk dat bazen hun standaard wachtwoord niet veranderen...

Edit: Ben nog niet helemaal wakker denk ik.

[Reactie gewijzigd door Aijt op 22 juli 2024 15:31]

Koos Ofzo @Aijt30 april 2014 14:18
Eerder zorgelijk dat de bazen hun standaard wachtwoord niet veranderen. Vooral bij zoiets privacygevoeligs als belgeschiedenis.
Cryothic @Koos Ofzo30 april 2014 14:26
Ik vind het vooral zorgelijk dat de KPN niks heeft gedaan om het standaard wachtwoord te ontmoedigen.

Ja, die bazen zouden beter moeten weten. Maar je kunt er volgens mij maar beter vanuit gaan dat jouw klanten daar niet aan denken.

Je geeft ze een (random, ook niet voor iedereen hetzelfde :P ) wachtwoord waar ze maar 1x mee in kunnen loggen, en zodra ze dat doen verplicht je ze om hun wachtwoord te wijzigen. Klaar.

Kleine moeite, en scheelt zoveel gezeik achteraf.
tERRiON @Cryothic30 april 2014 23:36
Het wachtwoordbeleid van KPN wankelt tussen lachwekkend en zorgwekkend. Deze conversatie op Twitter is illustrerend:
https://twitter.com/RFC2321/status/434315142017204224

In een notendop: KPN spoort mensen in een weblog aan om vreemde karakters in wachtwoorden te gebruiken, uiteraard heel nobel. De grap zit em echter in het feit dat dit voor bijvoorbeeld "Mijn KPN" niet mogelijk is.

Op de vraag aan KPN of het niet hilarisch is dat hun eigen adviezen niet op hun eigen websites toepasbaar zijn, kwam helaas geen antwoord. 8)7
Cryothic @tERRiON1 mei 2014 13:51
Jep... het ergste vind ik nog dat je dit soort foutjes van een klein, net beginnend bedrijf misschien zou verwachten. Zo'n bedrijfje bestaande uit 5 man ofzo, die alles zo goed mogelijk willen doen, maar nergens echt in gespecialiseerd zijn.

Van de KPN verwacht je toch op z'n minst een complete security-audit voor een product uitgerold wordt.
bbob @Cryothic30 april 2014 14:36
Idd, Lijkt me toch eenvoudig. Random password generator bij ieder nieuw account. Random password bestaat al heel lang. De vraag is waarom dit niet gebruikt is.

Je kunt brute force toepassen op de loginpagina"

Max x logins per ip per minuut dan blok voor x minuten lost al een groot deel van de problemen op.
Of login met controle per sms ook als mogelijk bij veel aanbieders
Sand0rf @Koos Ofzo30 april 2014 14:22
Zolang mensen daar niet toe worden verplicht zal men altijd de makkelijke weg kiezen, niet wijzigen dus...
m8ZBm1Si @Sand0rf30 april 2014 14:29
Verder vraag ik me af wat voor zin een captcha zou hebben op de loginpagina. Dit raadt diegene die het ontdekt heeft aan, maar dit houdt tegenwoordig geen enkele bot meer tegen.

Brute-force beveiliging hoort natuurlijk wel.
ToySoldier1992 @Aijt30 april 2014 15:07
We hebben op een vorige stageplaats met systemen van ASP4All gewerkt, daar kon je het (standaard) ingestelde wachtwoord niet veranderen, want dat werd elke nacht gereset. Dus iedereen had daar hetzelfde wachtwoord. :')
Peetz0r @ToySoldier199230 april 2014 21:06
Dat soort systemen zouden verboden moeten worden. Letterlijk. Dus simpelweg een boete van tienduizenden euro's voor een bedrijf dat zoiets aanbiedt en/of enkele maanden celstraf voor de persoon die zoiets bedenkt (en dus niet per se voor de individuele developers, want die hebben wellicht geen keuze gehad).
ANW @Peetz0r1 mei 2014 09:48
Als de wet zou zeggen dat dat niet mag, dan geldt dat óók voor de individuele developers. Als hun baas zegt: "Jaja de wet, maar ik wil dat je het toch doet!" , dan is het aan de developers om van die baas een ondertekende verklaring te eisen.
Als je baas zegt dat je iemand neer moet steken doe je het toch ook niet?
Verwijderd 30 april 2014 18:40
Allemaal hetzelfde wachtwoord, wel zo makkelijk en lekker klantvriendelijk he? </cynicism>
Onprofessioneel gepruts...
Aionicus @Verwijderd30 april 2014 19:28
Tjah het gebeurt wel bij meer bedrijven hoor.

Als je bij T-mobile / Ziggo / KPN je wachtwoord laat resetten is het bijna altijd Welkom.00 / Welkom.01 / Welkom / Welkom00 / Welkom01

Door het gepush van tijden en het gedreig met ontslag wat medewerkers vaak meemaken bij dit soort bedrijven krijg je dit soort situaties. Door het "sneller" en "automatisch" maken van bepaalde handelingen zonder daarbij een randomizer in te bouwen is gewoon heel erg kwalijk.
Verwijderd @Aionicus1 mei 2014 01:42
Ik kan me zoiets hooguit voorstellen dat zoiets als 'first time login' gebruikt word,
waarna je onmiddelijk het password zult moeten veranderen.

Mee eens dat de werkdruk tegenwoordig hoger ligt, en dat fouten maken daar een
regelrecht gevolg van zal zijn. Maar mag zeker geen excuus hiervoor zijn!
Verwijderd @Aionicus1 mei 2014 07:35
Kwestie van in de procedure opnemen, dat de klant na een password reset verplicht wordt om het tijdelijke password direct te wijzigen. Als ik bijvoorbeeld mijn password voor de EMC support site kwijt ben, dan krijg ik een random password toegestuurd. Log ik daarna in op de website, moet ik hem direct aanpassen. En dat is ook wat je doet als een van je gebruikers zijn password vergeten is: resetten naar iets en aanvinken "user must change password after first logon".
Verwijderd 30 april 2014 14:38
Ik ken het achterliggende platform en brute force is niet mogelijk. Na een aantal keer het verkeerde wachtwoord zal het desbetreffende account geblokkeerd worden.
Deze moet vervolgens vanaf een hoger niveau weer vrijgegeven worden.

Daarnaast zijn de gebruikersnamen ook niet zomaar te verzinnen / te achterhalen.
Natuurlijk is het wel erg slordig om hetzelfde wachtwoord te gebruiken.
gise @Verwijderd30 april 2014 15:16
Als het wachtwoord voor veel accounts hetzelfde is, is brute force niet eens nodig. Het enige obstakel is dus het achterhalen van de gebruikersnamen waarmee je dit wachtwoord kunt proberen.
RIVDSL @gise30 april 2014 18:16
Wachtwoord is bekend, gebruikersnaam kun je dan brute forcen. Een blokkade gebeurt op basis van gebruikersnaam, dus daar heb je geen last van.
jurgengreven @Verwijderd1 mei 2014 10:42
Blokkade account na aantal keer inloggen is instelling die gebruiker zelf moet doen. Staat dit niet aan dan kan je dus oneindig vaak proberen (brute force).
Gebruikersnamen zijn juist heel makkelijk te verzinnen. Dat zijn nl. de kpn accountnummers en die zijn gewoon ongenummerd.
Hoezo slecht ontwerp :+
xFeverr 30 april 2014 14:18
Vind het ook erg slecht van bedrijven dat deze het standaard wachtwoord aanhouden. Wat voor ICT-beleid heb je dan? Ik vind daarom dat je het niet alléén KPN kan verwijten.
ANW @xFeverr1 mei 2014 10:09
Gedeelde vreugd is dubbele vreugd.
Gedeelde smart is halve smart.

Gedeelde schuld is [ dubbele / halve ]* schuld.

* doorhalen wat niet van toepassing is

Ikzelf denk als 10 mensen staan te kijken hoe iemand verdrinkt, en ze zouden allemaal kunnen helpen dat de individuele schuld dan iets als een factor sqrt(10) van de "primaire" schuld.
(Maar dat is voor rechters waarschijnlijk véél te moeilijk.)
MegaTronics 30 april 2014 14:18
Ik hoop voor ze dat ze dat hier niet zo doen: http://www.kpn.com/zakelijk/cloud.htm :+
S0epkip @MegaTronics30 april 2014 14:22
Daar dacht ik meteen aan: "Weet u wie er bij uw data kan?".

Nou KPN in elk geval niet!!

http://www.kpn.com/ss/Sat...jk-cloud-aanbiedingen.jpg

[Reactie gewijzigd door S0epkip op 22 juli 2024 15:31]

Ardj 30 april 2014 14:20
Als je in de veronderstelling bent een uniek wachtwoord te hebben, omdat het nu niet echt klinkt als een standaardwachtwoord, word je inderdaad niet aangespoord het te veranderen.
Ik heb tijdenlang een wachtwoord op een website gehad wat me als tijdelijk wachtwoord werd toegestuurd, was zo'n bizar woord dat niemand het zou raden..
evilution @Ardj30 april 2014 14:33
Qwerty=12 klinkt anders wel aardig als een password wat standaard gegeven word hoor. Net zoiets als welkom01. Maar dan hoor je na het inloggen natuurlijk wel naar een verplicht change password geleid te worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq