Webserver van leverancier certificaten gehackt (11/12/08)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

KPN.

Betrokkenen

Klanten van Gemnet.

Soort (persoons)gegevens

"Tussen de [bij de hack benaderde] documenten bleken stukken te staan die niet op de webserver thuis horen. Zo stonden er documenten met informatie over de technische inrichting van het vertrouwde netwerk tussen KPN en overheden of bedrijven. Het gaat daarbij onder andere over diverse diensten van het Ministerie van Veiligheid en Justitie, ICT onderdelen van het Ministerie van Binnenlandse Zaken, UWV, politie, Centric, Govunited, Bank Nederlandse Gemeenten en de Belastingdienst. Ook wordt uit de stukken duidelijk dat voor bijvoorbeeld het toetsen van BKR-status weliswaar via een VPN wordt gewerkt, maar vanuit de overheidsorganisaties vervolgens vanaf werkplekken met onversleutelde verbindingen. Dat gebeurt niet alleen via de webbrowser, maar ook om met beheerderstools als telnet toegang te testen tot een firewall." (WebWereld, 11/12/08)

"[...] tijdens de hack was al duidelijk dat er ook andere [niet-openbare] documenten op de server toegankelijk waren. Een voorbeeld is een document met interne routering tussen Gemnet en diverse klanten. Inmiddels is duidelijk dat er daadwerkelijk meerdere hackers actief waren. Een daarvan [...] had ook toegang tot de server. Hij kreeg een database in handen met daarin klantgegevens en ordergegevens van Gemnet. Daarbij gaat het om aansluitingen voor beveiligde verbindingen (VPN), uitbreidingen op dienstverleningen, enzovoort. KPN erkent de nieuwe ontdekking. 'Klanten kunnen algemene Gemnet-diensten aanvragen via gemnet.nl. Dit gaat niet om aanvragen van certificaten. Bij zo'n algemene aanvraag laten klanten hun contactgegevens achter', stelt [een] voorlichter bij KPN. 'Het CMS, waarmee het openbare deel van de website wordt beheerd houdt die zakelijke naw-gegevens nog vast: deze zijn achterbleven op de webserver van www.gemnet.nl. Het gaat hierbij om aanvraaggegevens voor Gemnet-diensten zoals een internet upgrade, verandering Service Levels, upgrade bandbreedte Gemnet verbinding.' Het bedrijf benadrukt dat het niet mogelijk was PKI Overheidscertificaten aan te vragen." (WebWereld, 11/12/13)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"De website van KPN-dochter Gemnet, leverancier van PKI Overheidscertificaten, blijkt te zijn gehacked. Een beheerpagina gaf toegang tot documenten en database. [...] Dat was mogelijk, doordat de database op de server werd beheerd via PHP MyAdmin. Het was via deze webtoegang tot de database mogelijk om zonder wachtwoord binnen te komen. Vervolgens bleek het via de database mogelijk om bestanden op de server aan te maken, waaronder uitvoerbare scripts. Zo kon de aanvaller niet alleen informatie uit de database halen of toevoegen, maar was het mogelijk om voor een deel de besturing over de computer over te nemen. Op die manier kwamen alle documenten op de webserver beschikbaar. Ook was het beheerderswachtwoord te achterhalen, omdat dit niet heel erg sterk gekozen was (braTica4). [...] Webwereld werd getipt door een hacker. Voor hem is het belangrijk dat er snel wordt gehandeld, omdat hij 'een herhaling van Diginotar' wil voorkomen. Ook heeft hij aanwijzingen gevonden dat hij niet de eerste persoon is geweest die toegang heeft verkregen tot de systemen." (WebWereld, 11/12/08)

Respons van de organisatie

"De leverancier van overheidsbeveiligingscertificaten heeft woensdagavond, na melding door Webwereld, de website van Gemnet uit de lucht gehaald. Het bedrijf dicht het lek en is een actie gestart om alle bedrijfswebsites te screenen op fouten. [...] KPN spreekt in een reactie van een 'mogelijke hack', omdat het bedrijf de zaak zelf nog niet helemaal heeft onderzocht. Toch erkent het bedrijf de gang van zaken. 'KPN is door internetjournalist [...] woensdagmiddag 7 december attent gemaakt op de mogelijk hack op de website van Gemnet', schrijft het bedrijf. 'Omdat KPN en Gemnet de veiligheid van zijn systemen van het allergrootste belang vindt, neemt KPN dit signaal heel serieus. Het toont aan dat op onderdelen de werkwijze verbeterd moet worden.'" (WebWereld, 11/12/08)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Weer certificatenleverancier overheid gehackt (11/12/08)

Berichtgeving door KPN:
Off-site link, opens in new window KPN: UPDATE 11:30 - KPN sluit tijdelijk website Gemnet (11/12/08)
Off-site link, opens in new window KPN: Certificaten Gemnet niet gecompromitteerd (11/12/08)
Off-site link, opens in new window KPN: Externe audit op website Gemnet vandaag gestart (11/12/08)

Kamerstukken:
Off-site link, opens in new window Kamerbrief stand van zaken KPN/Gemnet en KPN/Getronics (11/12/13)

Zie verder:
Off-site link, opens in new window Nu.nl: Leverancier overheidscertificaten gehackt (11/12/08)
Off-site link, opens in new window Nu.nl: Weer ophef over veiligheid websites (11/12/08)
Off-site link, opens in new window Security.nl: Weer leverancier overheidscertificaten gehackt (11/12/08)
Off-site link, opens in new window KN haalt site van leverancier overheidscertificaten offline (11/12/08)
Off-site link, opens in new window WebWereld: Het waarom van KPN's handel in certificaten (11/12/08)
Off-site link, opens in new window WebWereld: KPN trekt duizend certificaten in (11/12/08)
Off-site link, opens in new window WebWereld: Spoeddebat over ingetrokken KPN-certificaten (11/12/08)
Off-site link, opens in new window Naked Security: Second Dutch security firm hacked, unsecured phpMyAdmin implicated (11/12/08)
Off-site link, opens in new window The Register: Digital certificate authority suspends ops following breach (11/12/08)
Off-site link, opens in new window AG: Weer ophef over veiligheid websites (11/12/09)
Off-site link, opens in new window WebWereld: 'Diginotar-crisis oorzaak certificaatproblemen KPN' (11/12/09)
Off-site link, opens in new window WebWereld: KPN - Externe inhuur maakte fouten met certificaten (11/12/09)
Off-site link, opens in new window WebWereld: KPN - GemNet-certificaten niet in gevaar geweest - update (11/12/09)
Off-site link, opens in new window WebWereld: Gemnet lekte ook niet-openbare informatie (11/12/13)
Off-site link, opens in new window PrivacyNieuws: Gemnet lekte ook niet-openbare informatie (11/12/13)
Off-site link, opens in new window BoF: Datalek - KPN lekt klantgegevens Gemnet (11/12/15)
Off-site link, opens in new window WebWereld: Run op certificaten bracht KPN in problemen (11/12/16)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.