D9D1E2

Datalekken in Nederland

2012

Klanten krijgen in app van telecomprovider gegevens van andere klanten te zien (12/08/21)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

KPN.

Verwerking

MijnKPN-app.

Betrokkenen

"[...] klanten [...]" [Tweakers.net, 12/08/21]

Soort (persoons)gegevens

"Zichtbaar waren [...] onder meer het gebruikte en ongebruikte beltegoed, evenals e-mailadres en mobiel nummer en gegevens over het mobiele contract. Factuurgegevens waren niet toegankelijk." [Tweakers.net, 12/08/21]

"In totaal maakten ongeveer vijftig klanten de afgelopen maanden melding van soortgelijke privacyproblemen. Het ging onder andere om inzage in naam-, adres- en woonplaatsgegevens, de diensten die de klant afnam en facturen. Er zou geen onterechte toegang tot e-mailaccounts en wachtwoorden zijn geweest." [Tweakers.net, 12/08/25]

"De gegevens die open en bloot in te zien zijn geweest, waren onder meer namen, adressen en factuurinformatie. KPN laat in een verklaring weten dat er geen reden is om aan te nemen dat er van de gegevens misbruik is gemaakt. Wachtwoorden en e-mailadressen zijn volgens KPN niet blootgesteld." [WebWereld, 12/08/26]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"[...] twee klanten van de provider klaagden dat ze opeens andermans gegevens konden inzien." [Tweakers.net, 12/08/21]

"Op Twitter maakt één van de twee klanten van KPN melding van de storing. [De klant] toont op het microblog met foto's aan dat hij in een uur tijd bij twee keer inloggen de klantgegevens van zichzelf, maar ook van een andere KPN-klant inzichtelijk kreeg." [WebWereld, 12/08/21]

"In totaal maakten ongeveer vijftig klanten de afgelopen maanden melding van soortgelijke privacyproblemen. [...] De oorzaak van het privacyprobleem zou bij een tool om wachtwoorden te resetten liggen. Alle betreffende klanten zouden sinds april een nieuw MijnKPN-wachtwoord hebben gekregen via deze tool en daarnaast zouden ze een telefoonnummer of e-mailadres in gebruik hebben die daarvoor of daarna door een andere klant in gebruik is geweest. De 187.000 klanten die nu geen toegang meer tot MijnKPN hebben, zouden ook van de tool gebruikgemaakt hebben en KPN wil met de blokkade voorkomen dat ook zij de gegevens van anderen kunnen inzien. KPN heeft de password-resetter offline gehaald en belooft de bug de komende dagen op te lossen. Zodra de toegang hersteld wordt moeten de gedupeerden een nieuw wachtwoord aanmaken." [Tweakers.net, 12/08/25]

"Na onderzoek ontdekte het bedrijf dat het issue zich voordoet bij mensen die ná 1 april klant zijn geworden van KPN en een e-mailadres hadden dat ooit door een andere klant in gebruik was. De bug zou te maken hebben met een nieuwe versie uit april van een wachtwoordwijzigingstool." [WebWereld, 12/08/26]

"Klanten die gebruik maken van MijnKPN hebben maandenlang de gegevens van andere klanten niet alleen kunnen inzien, maar ook kunnen wijzigen. De veranderingen in de webportal werden dan niet doorgevoerd bij de originele inlogger, maar bij de andere klant die per ongeluk gekoppeld was. Een tipgever laat Webwereld weten dat niet alleen de gegevens van andere klanten opduiken in zijn account, maar dat deze gegevens ook vrijelijk aan te passen zijn. KPN erkent dat dit inderdaad het geval was en dat daarom de portal is afgesloten voor een deel van de gebruikers. Aanvankelijk leek het erop dat alleen gegevens in te zien waren." [WebWereld, 12/08/27]

Respons van de organisatie

"KPN heeft de MijnKPN-apps, waarmee klanten gegevens over hun telefoon- en sms-gebruik kunnen zien, offline gehaald. [...] KPN ondernam actie nadat [een klant] zich op Twitter beklaagde over de app, die plotseling de gegevens van een willekeurige andere KPN-klant toonde. [...] "Het is nu niet meer mogelijk om in te loggen met de app", laat [een woordvoerster] van KPN weten aan Tweakers.net. Volgens [de woordvoerster] zijn de apps 'offline gehaald', zowel voor iOS als Android. In de Play Store is de applicatie echter nog steeds te vinden. [...] In totaal heeft KPN twee klachten gehad. De eerste klacht kwam 'in de afgelopen twee weken' binnen, maar toen ondernam KPN geen actie, omdat het om de klacht van slechts één klant ging. 'De melding is direct opgepakt en we hebben testen uitgevoerd, maar daar kwam niets uit', aldus [de woordvoerster]. 'Het leek om een individueel geval te gaan.' Wanneer de applicaties weer beschikbaar zijn, is nog onbekend. Overigens kunnen KPN-klanten hun gegevens wel via de website opvragen; die is niet getroffen door het probleem, aldus [de woordvoerster]." [Tweakers.net, 12/08/21]

"De provider blijft bij het onderzoek contact houden met de getroffen klanten." [WebWereld, 12/08/21]

"KPN zet de MijnKPN-omgeving, waar klanten hun diensten zelf kunnen beheren, voor 187.000 gebruikers een week lang op slot. Aanleiding is de melding van 50 klanten dat ze gegevens van anderen met de mobiele MijnKPN-app konden inzien. Van de 5 miljoen klanten kunnen 187.000 gebruikers de selfserviceomgeving MijnKPN tijdelijk niet meer bereiken. Eind volgende week kunnen ze waarschijnlijk weer inloggen, zegt KPN in een mededeling. Voor alle klanten geldt dat ze tot waarschijnlijk dinsdag geen nieuw wachtwoord kunnen aanmaken. Op dezelfde dag hoopt de telecomaanbieder zijn MijnKPN-app weer beschikbaar te maken." [Tweakers.net, 12/08/25]

"Het inloggen op Mijn Hi via de website, mobiele website of de applicatie is tijdelijk niet mogelijk, laat KPN weten. Het gaat volgens het bedrijf om een voorzorgsmaatregel, nadat verschillende klanten hadden gemeld dat ze opeens andermans gegevens zagen. Zolang de meldingen worden onderzocht, blijft Mijn Hi offline. [...] Update, 12:07: Inmiddels is de Mijn Hi-omgeving weer toegankelijk, laat KPN weten. De problemen bleken te zijn veroorzaakt door een 'interne testsituatie'." [Tweakers.net, 2012/09/21]

Bronnen

12/08/21

12/08/22

12/08/25

12/08/26

12/08/27

2012/09/21

.