D9D1E2

Datalekken in Nederland

2012

Hackers krijgen toegang tot servers telecombedrijf (12/02/08)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

KPN.

Verwerking

Website.

Betrokkenen

Klanten van KPN.

Soort (persoons)gegevens

"Volgens woordvoerder [...] van de provider kon de hacker bij klantgegevens. Het ging onder meer om naw-gegevens, telefoonnummers en bankrekeningnummers. 'Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd', zegt hij." [Bron]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"Een of meer hackers hebben het netwerk van de telecom- en internetprovider weten binnen te dringen, al is onduidelijk hoeveel servers zijn getroffen." [Bron]

"De hack van KPN was prima te voorkomen geweest als systemen beter onderhouden zouden zijn geweest. Maar oude lekken gaven volledige toegang. Dat blijkt uit een gesprek met een van de hackers. De hacker meldde zich bij Webwereld nadat in de publiciteit was gekomen dat KPN daadwerkelijk was gehacked. Wat de hacker betreft is het duidelijk dat hij geen kwaad in de zin had, maar gelet op het lopende strafrechtelijke onderzoek wil hij anoniem blijven. KPN maakt gebruikt van systemen van het voormalige Sun Microsystems en draait SunOS 5.8 op de de machine die het eerst gekraakt werd. Deze host werd toegankelijk via speedtest.wxs.nl, een server die inmiddels niet meer bereikbaar is. Volgens de hackers was het eenvoudig om binnen te komen, maar het wordt niet duidelijk hoe dit precies in zijn werk is gegaan. Er circuleert een verhaal dat een bug uit 2007 werd misbruikt, maar dat ontkennen bronnen binnen KPN. Feit is dat het uiteindelijk lukte om binnen te komen. De software is verouderd en soms al jaren niet van updates voorzien. Andere bronnen binnen KPN melden dat de interne infrastructuur aan verbetering toe is. [...] De hackers die de kraak hebben gezet zeggen dat ze dit niet gepland hebben. Ze waren eigenlijk gewoon op zoek naar lekken om die aan de te kaak stellen. Pas toen duidelijk was dat het hier om KPN ging, hebben ze wat beter gekeken en toen bleek dat ze data konden ophalen. Ze claimen dat ze niet minder dan 16Gb aan data hebben opgehaald. Inmiddels is die data vernietigd, bezweert de hacker. Of dat waar is kan niet worden gecontroleerd. Maar het is wel opmerkelijk dat de hackers zeggen dat ze data gedownload hebben, want KPN heeft eerder verklaard dat er niets was gedownload. Inmiddels erkent het bedrijf dat het dit niet zeker weet. 'Daarbij ging het om veel meer dan KPN vertelde', zegt de hacker die spreekt op voorwaarde van anonimiteit. Het ging niet alleen om de data. De hackers konden nog veel meer op de server, stelt onze bron. 'Zo konden wij mensen aan- en afsluiten van internet als we hadden gewild.'" [Bron]

"Op Pastebin.com is echter een bestand verschenen met daarin de gegevens van ruim 500 klanten. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen en onversleutelde wachtwoorden. [...] [Een security-blogger] meldt op zijn eigen weblog, dat de bronnen die eerder met de pers contact hadden en gegevens van de gehackte systemen wisten te overhandigen, ontkennen dat de Pastebin van hen is. "Zij hebben niets gelekt en zijn hier zeer verontwaardigd over", aldus [de security-blogger." [Bron]

"De hackers die inbraken bij KPN, hebben mogelijk ook ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan. Dat zegt een bron rond de hackers die systemen van KPN hebben gekraakt tegenover Tweakers.net. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren." [Bron]

"De lijst met persoonsgegevens die vrijdag op internet verscheen is niet afkomstig van het mailsysteem van KPN, maar van een compleet andere database. Het gaat om de klanten van een verkoper in babymaterialen, blijkt uit onderzoek van NU.nl." [Bron]

"De privégegevens blijken nu afkomstig van de database van Baby Dump. Alleen de KPN-klanten zijn uit deze database met in totaal 134.000 mensen genomen, zodat het leek alsof de gegevens van KPN afkomstig waren. De woordvoerder van Baby Dump kon niet zeggen wanneer de gegevens gestolen zijn." [Bron]

"De uitgelekte inloggegevens van KPN-klanten blijken niet gestolen bij de recente KPN-hack. De data is veel eerder buitgemaakt bij webshop Babydump.nl, dat eind vorig jaar al lek bleek. Die webwinkel voor baby-artikelen is één van de ruim 150 webwinkels waarin eind vorig jaar beveiligingslekken zijn ontdekt door een 17-jarige ict-student. [...] Na 2 dagen werk had hij xss-lekken gevonden in 143 webwinkels en SQL-gaten in 18 online-shops. Die hadden allen het keurmerk Thuiswinkel Waarborg [...] Ook Baby-dump bevond zich in [het] rapport [van de ict-student], dat hij vertrouwelijk aan brancheorganisatie Thuiswinkel en aan Webwereld heeft toegestuurd. De webshop voor baby-artikelen had zowel xss- als SQL-gaten, blijkt uit de beveiligingsscan door de ict-student. Afgelopen zaterdag is uit onderzoek van nieuwssite Nu.nl naar voren gekomen dat de uitgelekte inloggegevens van KPN-klanten afkomstig zijn van Baby-dump. Die webwinkel is vervolgens ingelicht en heeft na eigen analyse de oorsprong van de data bevestigd." [Bron]

Respons van de organisatie

"KPN spreekt over 'één serverdomein'. "KPN heeft onmiddellijk maatregelen getroffen om maximaal de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen", meldt KPN. [...] Toen de hack werd ontdekt, op 20 januari, werd geprobeerd om het lek te dichten. Op dat moment had de hacker waarschijnlijk al een paar dagen toegang. Uit nauwkeuriger onderzoek op 27 januari bleek echter dat de hacker nog steeds toegang had. 'Maar hij heeft in die week geen activiteit vertoond', stelt [de woordvoerder]. Volgens [de woordvoerder] was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt. Samen met [een ICT-beveiligingsbedrijf] is de dreiging opgelost, aldus het bedrijf. Waar de hackers naar op zoek waren en wat ze hebben gevonden, is onduidelijk. Ook hoe de hack heeft plaatsgevonden, is onbekend. Het bedrijf werkt samen met de politie om de zaak op te lossen." [Bron]

"Het telecomconcern heeft alle relevante instanties over de inbraak geïnformeerd, waaronder het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta en het Openbaar Ministerie. Het bedrijf gaat na een diepgaande analyse bekijken hoe klanten en servers nog beter kunnen worden beschermd tegen aanvallen van hackers." [Bron]

"Tijdens het onderzoek dat het bedrijf instelde werd duidelijk dat onbevoegden toegang hadden tot de server en dat ze software hadden geïnstalleerd. Toen was het voor KPN menens. 'De systemen staan in het domein waar ook Internetplus Bellen staat', stelt een zegsvrouw. Zij wijst erop dat een verstoring van die dienst tot gevolg kan hebben dat mensen geen 112 kunnen bellen. 'Toen hebben wij de autoriteiten geïnformeerd.' Dat was ook het moment om Code Rood af te roepen over het bedrijf. Dit betekent dat er een acuut probleem verholpen moet worden. Een team van zo'n honderd medewerkers heeft in de periode 27 januari tot en met 3 februari 24 uur per dag gewerkt. Een belangrijke taak naast het onderzoek was het stapsgewijs stilletjes patchen van de omgeving zonder dat de dagelijkse operatie werd verstoord. Ook werd toen het strafrechtelijk onderzoek gestart." [Bron]

"Om de hackers niets te laten vermoeden dat ze ontdekt waren, bereidde KPN naar eigen zeggen een stille switch voor. 'Een nachtelijke omzetting op opgeschoonde nieuwe platforms voor onze klantservers. Dit om de hacker niet te alarmeren dat wij hem op het spoor waren waardoor deze daadwerkelijke schade zou kunnen gaan aanrichten, in verband met de opsporing en om geen onnodige onrust te veroorzaken over de continuïteit van de dienstverlening.' Uit eigen informatie zou echter blijken dat de aanvallers zich sinds 20 januari niet meer op de servers van KPN hebben laten zien. De 'switch' werd uiteindelijk op 3 februari afgerond. 'Wij hadden tot 8 februari onze klanten nog niet geïnformeerd in het belang van het lopende onderzoek naar de zaak en vanwege de technische afwikkeling, dit alles in overleg met de betrokken instanties.'" [Bron]

"KPN heeft per direct de e-mailaccounts van twee miljoen gebruikers geblokkeerd omdat klantgegevens gestolen en deels gepubliceerd zijn. Het gaat om e-mailaccounts van KPN.nl, Planet.nl en Hetnet.nl. Vanmiddag werden de gegevens van ruim 500 gebruikers gepubliceerd. Het ging onder andere om e-mailadressen, adresgegevens, telefoonnummers en onversleutelde wachtwoorden." [Bron]

"Klanten van KPN kunnen sinds zes uur zaterdagavond weer e-mailen. Dat is later dan gepland. Het onlangs gehackte telecombedrijf moest extra capaciteit bijplaatsen om het stuwmeer aan berichten te verwerken dat zich het afgelopen etmaal had opgehoopt. Dat kostte meer tijd en moeite dan voorzien." [Bron]

"Het Openbaar Ministerie heeft een strafrechtelijk onderzoek ingesteld naar het hacken van adres- en inloggegevens bij KPN. [...] Telecomwaakhond Opta gaat onderzoeken of KPN de zorgplicht heeft geschonden, laat een woordvoerster weten. Uit het onderzoek moet blijken of het bedrijf genoeg maatregelen heeft genomen om ervoor te zorgen dat de beveiliging op orde is. Opta kan eventueel sancties opleggen." [Bron]

"Thuiswinkel.org gaat de beveiliging van webwinkel Baby-Dump.nl zondag nauwkeurig onderzoeken. Daaruit moet duidelijk worden of de winkel het Thuiswinkel-keurmerk mag behouden. Aanleidig voor het onderzoek is de lijst met ruim 500 persoonsgegevens die vrijdag online verscheen. De gegevens leken eerst van KPN-klanten te zijn, maar uit onderzoek van NU.nl bleek dat het om klanten van de verkoper in babymaterialen ging. Volgens Baby Dump gaat het om verouderde data van waarschijnlijk meer dan een jaar geleden. Er zouden namelijk onlangs wijzigingen in het systeem van de webwinkel zijn doorgevoerd om lekken tegen te gaan. Wat er precies heeft plaatsgevonden kon een woordvoerder van Baby Dump niet zeggen." [Bron]

"'Door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT systemen niet steeds optimaal is geweest. En daar trekken we lessen uit', zegt [de directeur] van KPN. Ook in het informeren van klanten kan er nog wel wat verbeterd worden, voegt [de directeur] toe. 'Wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren.' KPN zegt nu sneller meer geld vrij te maken voor verbetering van de ict-systemen. Het bedrijf zegt in stilte een overgang te maken naar een 'volledig nieuw beveiligde' omgeving. 'Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in security maar ook in modernisering van de systemen zelf.' Ook het management van de it-afdeling gaat op de schop en het webcareteam wordt met ingang van volgende maand uitgebreid." [Bron]

"KPN richt een groot ICT-bewakingscentrum op om het eigen netwerk veel beter te bewaken. Deze 'war-room' moet zo snel mogelijk operationeel worden." [Bron]

"Om getroffen klanten te compenseren werd een speciaal schademeldpunt geopend, waar klanten een claim in konden dienen. 'In totaal hebben 1260 klanten gebruik gemaakt van het meldpunt. Er zijn 995 claims ingediend, waarvan er 750 zijn toegewezen, 203 zijn afgewezen en 42 nog in behandeling zijn. In totaal zal KPN circa 100.000 euro uitkeren', zo laat de telecomaanbieder op de eigen website weten." [Bron]

"Het Openbaar Ministerie heeft jeugddetentie en een werkstraf geëist tegen een 18-jarige verdachte die KPN in januari 2012 hackte. [...] In het politieonderzoek is naar voren gekomen dat de jongen hackte uit verveling en ook wel voor de lol. De gevolgen leken hem allemaal echter weinig te kunnen schelen, aldus de officier van justitie van het Landelijk Parket. De door het OM geëiste jeugddetentie bestaat uit een onvoorwaardelijk deel van 43 dagen en een voorwaardelijk deel van 12 maanden met een proeftijd van twee jaar. De hoogte van de geëiste werkstraf is 200 uur." [Security.nl, 2013-05-25]

"Vanwege ontoelaatbaar internetgedrag was de verdachte in 2010 al door KPN gewaarschuwd. Zijn internetaansluiting is toen enige tijd afgesloten. Dat heeft hem er niet van weerhouden om verder te gaan met het binnendringen in computersystemen tot letterlijk aan het moment van zijn aanhouding." [Openbaar Ministerie, 2013-06-07]

"De rechtbank van Rotterdam heeft een 18-jarige verdachte vandaag acht maanden voorwaardelijke jeugddetentie en een werkstraf van 100 uur opgelegd wegens het hacken van KPN in januari 2012." [Security.nl, 2013-06-07]

Bronnen

12/02/08

12/02/09

12/02/10

12/02/11

12/02/12

12/02/13

12/02/14

12/02/15

12/02/17

12/02/18

12/02/19

12/02/20

12/02/22

12/02/25

12/03/01

12/03/19

12/03/26

12/03/27

12/04/07

12/04/08

12/05/02

12/05/03

12/05/11

12/06/12

2013-05-25

2013-06-07

2013-06-08

2013-06-11

2014-05-23

.