[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]
"Op één interne ftp-server, die voor iedereen op het interne netwerk toegankelijk was, waren wachtwoorden van duizenden routers, switches en netwerkapparatuur te vinden die met verouderde encryptiemethoden waren versleuteld en daardoor in luttele seconden waren te achterhalen. Daardoor zou het in theorie mogelijk zijn geweest om internetverkeer van KPN-klanten af te luisteren. Ook waren de dns-servers van KPN te misbruiken voor ddos-aanvallen en waren 'sommige ip-adressen' op het netwerk 'overduidelijk bestemd' voor het beheren van routers bij klanten. Onduidelijk is of die verbindingen waren te misbruiken, bijvoorbeeld voor het flashen van modems van klanten. [...] Triviaal te misbruiken was de kwetsbaarheid niet: er was een zakelijke wholesale-glasvezelaansluiting voor nodig. Het huren van apparatuur voor een dergelijke aansluiting alleen al kost 2000 euro per maand, nog los van de kosten voor de daadwerkelijke verbinding." [Tweakers, 2013-11-18]
"Nadat een computervereniging [...] intrek had genomen in een oud gebouw, was men bezig om te kijken naar de mogelijkheden om een internetverbinding op deze locatie te krijgen. Het oude schoolgebouw had alleen zeer slechte mogelijkheden om een internet aansluiting te realiseren en de hoop was een fiber te vinden die in de buurt van bestaande fiber-infra uitkomt. Op deze manier was het de bedoeling om voor een zachte prijs toch een fatsoenlijke internetverbinding op de locatie te krijgen. Tijdens de speurtochten door het grote gebouw is een aantal fibers aangetroffen waarvan er nog een actief was. Op 24 juli 2013 ben ik begonnen om uit te zoeken wat die vezel nu precies deed. Omdat de kabel niet gelabeld was konden we niet makkelijk achterhalen van welke provider deze verbinding was om ze te benaderen of we daar gebruik van konden maken. De enige manier om daar achter te komen was het werkend krijgen van de verbinding en te kijken wat voor verkeer er zichtbaar was. [...] Na een uurtje of twee rondkijken was duidelijk dat er dusdanige toegang mogelijk was tot het interne netwerk van KPN dat een kwaadwillend persoon flinke schade zou kunnen toebrengen aan de KPN-infra. [...] Omdat de mogelijkheden van de aangetroffen situatie dermate ernstig was hebben we de zoektocht naar een internetverbinding gestaakt en de informatie verzameld om er melding van te gaan maken." [[Anonieme vinder / Tweakers], 2013-11-18]
"Door de glasvezelkabel van KPN rechtstreeks op een switch aan te sluiten, in plaats van op apparatuur van KPN, kon worden gekeken op het interne netwerk. Daarna konden servers op het interne KPN-netwerk worden bereikt, die antwoord gaven op verzoeken. Normaliter hoort het interne management-netwerk niet beschikbaar te zijn voor klanten." [Tweakers, 2013-11-18]
"De volgende dag heb ik via connecties bij het NCSC een anonieme melding laten doen bij KPN. Om aan te tonen dat ik toegang had verkregen tot bepaalde zaken had ik de decrypted passwords inclusief routernamen doorgegeven. Het NCSC had op haar beurt weer goede contacten met KPNCERT en hadden vrij snel een reactie 'oh crap', gevolgd door het verzoek om in contact konden komen met de melder om deze wat vragen te stellen. Mijn (vooral negatieve) ervaringen van KPN uit het verleden weerhield me enigszins, maar heb ik uiteindelijk toch besloten rechtstreeks contact op te nemen met KPN-CERT om gegevens uit te wisselen over het lek. Vervolgens is het KPN-CERT er mee aan de slag gegaan en de contacten die ik met dat team heb gehad waren tot mijn verbazing erg goed. [...] Na de melding heeft een gespecialiseerde afdeling binnen KPN [...] verder onderzoek gedaan wat mogelijk zou zijn met de verkregen informatie en heeft men naast de gevonden problemen nog andere problemen geconstateerd die zeker aandacht nodig hadden. Inmiddels heeft KPN de meeste zaken opgelost en is een dergelijke toegang ook niet meer mogelijk." [[Anonieme vinder / Tweakers], 2013-11-18]
"Als beloning kreeg de hacker een t-shirt met de tekst:'I hacked KPN and all I got was this lousy t-shirt'. KPN heeft geen beleid voor het uitkeren van beloningen na het melden van een lek." [Nutech.nl, 2013-11-18]
"KPN erkent het beveiligingsprobleem en heeft de beveiliging inmiddels verbeterd, stelt het bedrijf. Wel stelt het bedrijf dat er 'geen impact is geweest voor de vitale infrastructuur' en dat er 'geen klant- of persoonsgegevens in het geding zijn geweest'. De onderzoeker heeft het probleem in juli via het Nationaal Cyber Security Centrum gemeld bij KPN volgens de responsible disclosure-procedure van het bedrijf; sindsdien is KPN bezig geweest met het oplossen van het probleem." [Tweakers, 2013-11-18]
2013-11-18