Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
KPN.
Klanten van Gemnet.
"Tussen de [bij de hack benaderde] documenten bleken stukken te staan die niet op de webserver thuis horen. Zo stonden er documenten met informatie over de technische inrichting van het vertrouwde netwerk tussen KPN en overheden of bedrijven. Het gaat daarbij onder andere over diverse diensten van het Ministerie van Veiligheid en Justitie, ICT onderdelen van het Ministerie van Binnenlandse Zaken, UWV, politie, Centric, Govunited, Bank Nederlandse Gemeenten en de Belastingdienst. Ook wordt uit de stukken duidelijk dat voor bijvoorbeeld het toetsen van BKR-status weliswaar via een VPN wordt gewerkt, maar vanuit de overheidsorganisaties vervolgens vanaf werkplekken met onversleutelde verbindingen. Dat gebeurt niet alleen via de webbrowser, maar ook om met beheerderstools als telnet toegang te testen tot een firewall." (WebWereld, 11/12/08)
"[...] tijdens de hack was al duidelijk dat er ook andere [niet-openbare] documenten op de server toegankelijk waren. Een voorbeeld is een document met interne routering tussen Gemnet en diverse klanten. Inmiddels is duidelijk dat er daadwerkelijk meerdere hackers actief waren. Een daarvan [...] had ook toegang tot de server. Hij kreeg een database in handen met daarin klantgegevens en ordergegevens van Gemnet. Daarbij gaat het om aansluitingen voor beveiligde verbindingen (VPN), uitbreidingen op dienstverleningen, enzovoort. KPN erkent de nieuwe ontdekking. 'Klanten kunnen algemene Gemnet-diensten aanvragen via gemnet.nl. Dit gaat niet om aanvragen van certificaten. Bij zo'n algemene aanvraag laten klanten hun contactgegevens achter', stelt [een] voorlichter bij KPN. 'Het CMS, waarmee het openbare deel van de website wordt beheerd houdt die zakelijke naw-gegevens nog vast: deze zijn achterbleven op de webserver van www.gemnet.nl. Het gaat hierbij om aanvraaggegevens voor Gemnet-diensten zoals een internet upgrade, verandering Service Levels, upgrade bandbreedte Gemnet verbinding.' Het bedrijf benadrukt dat het niet mogelijk was PKI Overheidscertificaten aan te vragen." (WebWereld, 11/12/13)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"De website van KPN-dochter Gemnet, leverancier van PKI Overheidscertificaten, blijkt te zijn gehacked. Een beheerpagina gaf toegang tot documenten en database. [...] Dat was mogelijk, doordat de database op de server werd beheerd via PHP MyAdmin. Het was via deze webtoegang tot de database mogelijk om zonder wachtwoord binnen te komen. Vervolgens bleek het via de database mogelijk om bestanden op de server aan te maken, waaronder uitvoerbare scripts. Zo kon de aanvaller niet alleen informatie uit de database halen of toevoegen, maar was het mogelijk om voor een deel de besturing over de computer over te nemen. Op die manier kwamen alle documenten op de webserver beschikbaar. Ook was het beheerderswachtwoord te achterhalen, omdat dit niet heel erg sterk gekozen was (braTica4). [...] Webwereld werd getipt door een hacker. Voor hem is het belangrijk dat er snel wordt gehandeld, omdat hij 'een herhaling van Diginotar' wil voorkomen. Ook heeft hij aanwijzingen gevonden dat hij niet de eerste persoon is geweest die toegang heeft verkregen tot de systemen." (WebWereld, 11/12/08)
"De leverancier van overheidsbeveiligingscertificaten heeft woensdagavond, na melding door Webwereld, de website van Gemnet uit de lucht gehaald. Het bedrijf dicht het lek en is een actie gestart om alle bedrijfswebsites te screenen op fouten. [...] KPN spreekt in een reactie van een 'mogelijke hack', omdat het bedrijf de zaak zelf nog niet helemaal heeft onderzocht. Toch erkent het bedrijf de gang van zaken. 'KPN is door internetjournalist [...] woensdagmiddag 7 december attent gemaakt op de mogelijk hack op de website van Gemnet', schrijft het bedrijf. 'Omdat KPN en Gemnet de veiligheid van zijn systemen van het allergrootste belang vindt, neemt KPN dit signaal heel serieus. Het toont aan dat op onderdelen de werkwijze verbeterd moet worden.'" (WebWereld, 11/12/08)
Eerste publicatie:
WebWereld: Weer certificatenleverancier overheid gehackt (11/12/08)
Berichtgeving door KPN:
KPN: UPDATE 11:30 - KPN sluit tijdelijk website Gemnet (11/12/08)
KPN: Certificaten Gemnet niet gecompromitteerd (11/12/08)
KPN: Externe audit op website Gemnet vandaag gestart (11/12/08)
Kamerstukken:
Kamerbrief stand van zaken KPN/Gemnet en KPN/Getronics (11/12/13)
Zie verder:
Nu.nl: Leverancier overheidscertificaten gehackt (11/12/08)
Nu.nl: Weer ophef over veiligheid websites (11/12/08)
Security.nl: Weer leverancier overheidscertificaten gehackt (11/12/08)
KN haalt site van leverancier overheidscertificaten offline (11/12/08)
WebWereld: Het waarom van KPN's handel in certificaten (11/12/08)
WebWereld: KPN trekt duizend certificaten in (11/12/08)
WebWereld: Spoeddebat over ingetrokken KPN-certificaten (11/12/08)
Naked Security: Second Dutch security firm hacked, unsecured phpMyAdmin implicated (11/12/08)
The Register: Digital certificate authority suspends ops following breach (11/12/08)
AG: Weer ophef over veiligheid websites (11/12/09)
WebWereld: 'Diginotar-crisis oorzaak certificaatproblemen KPN' (11/12/09)
WebWereld: KPN - Externe inhuur maakte fouten met certificaten (11/12/09)
WebWereld: KPN - GemNet-certificaten niet in gevaar geweest - update (11/12/09)
WebWereld: Gemnet lekte ook niet-openbare informatie (11/12/13)
PrivacyNieuws: Gemnet lekte ook niet-openbare informatie (11/12/13)
BoF: Datalek - KPN lekt klantgegevens Gemnet (11/12/15)
WebWereld: Run op certificaten bracht KPN in problemen (11/12/16)
