Hackers krijgen toegang tot servers telecombedrijf (12/02/08)

Organisatie

KPN.

Verwerking

Website.

Betrokkenen

Klanten van KPN.

Soort (persoons)gegevens

"Volgens woordvoerder [...] van de provider kon de hacker bij klantgegevens. Het ging onder meer om naw-gegevens, telefoonnummers en bankrekeningnummers. 'Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd', zegt hij." [Bron]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"Een of meer hackers hebben het netwerk van de telecom- en internetprovider weten binnen te dringen, al is onduidelijk hoeveel servers zijn getroffen." [Bron]

"De hack van KPN was prima te voorkomen geweest als systemen beter onderhouden zouden zijn geweest. Maar oude lekken gaven volledige toegang. Dat blijkt uit een gesprek met een van de hackers. De hacker meldde zich bij Webwereld nadat in de publiciteit was gekomen dat KPN daadwerkelijk was gehacked. Wat de hacker betreft is het duidelijk dat hij geen kwaad in de zin had, maar gelet op het lopende strafrechtelijke onderzoek wil hij anoniem blijven. KPN maakt gebruikt van systemen van het voormalige Sun Microsystems en draait SunOS 5.8 op de de machine die het eerst gekraakt werd. Deze host werd toegankelijk via speedtest.wxs.nl, een server die inmiddels niet meer bereikbaar is. Volgens de hackers was het eenvoudig om binnen te komen, maar het wordt niet duidelijk hoe dit precies in zijn werk is gegaan. Er circuleert een verhaal dat een bug uit 2007 werd misbruikt, maar dat ontkennen bronnen binnen KPN. Feit is dat het uiteindelijk lukte om binnen te komen. De software is verouderd en soms al jaren niet van updates voorzien. Andere bronnen binnen KPN melden dat de interne infrastructuur aan verbetering toe is. [...] De hackers die de kraak hebben gezet zeggen dat ze dit niet gepland hebben. Ze waren eigenlijk gewoon op zoek naar lekken om die aan de te kaak stellen. Pas toen duidelijk was dat het hier om KPN ging, hebben ze wat beter gekeken en toen bleek dat ze data konden ophalen. Ze claimen dat ze niet minder dan 16Gb aan data hebben opgehaald. Inmiddels is die data vernietigd, bezweert de hacker. Of dat waar is kan niet worden gecontroleerd. Maar het is wel opmerkelijk dat de hackers zeggen dat ze data gedownload hebben, want KPN heeft eerder verklaard dat er niets was gedownload. Inmiddels erkent het bedrijf dat het dit niet zeker weet. 'Daarbij ging het om veel meer dan KPN vertelde', zegt de hacker die spreekt op voorwaarde van anonimiteit. Het ging niet alleen om de data. De hackers konden nog veel meer op de server, stelt onze bron. 'Zo konden wij mensen aan- en afsluiten van internet als we hadden gewild.'" [Bron]

"Op Pastebin.com is echter een bestand verschenen met daarin de gegevens van ruim 500 klanten. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen en onversleutelde wachtwoorden. [...] [Een security-blogger] meldt op zijn eigen weblog, dat de bronnen die eerder met de pers contact hadden en gegevens van de gehackte systemen wisten te overhandigen, ontkennen dat de Pastebin van hen is. "Zij hebben niets gelekt en zijn hier zeer verontwaardigd over", aldus [de security-blogger." [Bron]

"De hackers die inbraken bij KPN, hebben mogelijk ook ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan. Dat zegt een bron rond de hackers die systemen van KPN hebben gekraakt tegenover Tweakers.net. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren." [Bron]

"De lijst met persoonsgegevens die vrijdag op internet verscheen is niet afkomstig van het mailsysteem van KPN, maar van een compleet andere database. Het gaat om de klanten van een verkoper in babymaterialen, blijkt uit onderzoek van NU.nl." [Bron]

"De privégegevens blijken nu afkomstig van de database van Baby Dump. Alleen de KPN-klanten zijn uit deze database met in totaal 134.000 mensen genomen, zodat het leek alsof de gegevens van KPN afkomstig waren. De woordvoerder van Baby Dump kon niet zeggen wanneer de gegevens gestolen zijn." [Bron]

"De uitgelekte inloggegevens van KPN-klanten blijken niet gestolen bij de recente KPN-hack. De data is veel eerder buitgemaakt bij webshop Babydump.nl, dat eind vorig jaar al lek bleek. Die webwinkel voor baby-artikelen is één van de ruim 150 webwinkels waarin eind vorig jaar beveiligingslekken zijn ontdekt door een 17-jarige ict-student. [...] Na 2 dagen werk had hij xss-lekken gevonden in 143 webwinkels en SQL-gaten in 18 online-shops. Die hadden allen het keurmerk Thuiswinkel Waarborg [...] Ook Baby-dump bevond zich in [het] rapport [van de ict-student], dat hij vertrouwelijk aan brancheorganisatie Thuiswinkel en aan Webwereld heeft toegestuurd. De webshop voor baby-artikelen had zowel xss- als SQL-gaten, blijkt uit de beveiligingsscan door de ict-student. Afgelopen zaterdag is uit onderzoek van nieuwssite Nu.nl naar voren gekomen dat de uitgelekte inloggegevens van KPN-klanten afkomstig zijn van Baby-dump. Die webwinkel is vervolgens ingelicht en heeft na eigen analyse de oorsprong van de data bevestigd." [Bron]

Respons van de organisatie

"KPN spreekt over 'één serverdomein'. "KPN heeft onmiddellijk maatregelen getroffen om maximaal de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen", meldt KPN. [...] Toen de hack werd ontdekt, op 20 januari, werd geprobeerd om het lek te dichten. Op dat moment had de hacker waarschijnlijk al een paar dagen toegang. Uit nauwkeuriger onderzoek op 27 januari bleek echter dat de hacker nog steeds toegang had. 'Maar hij heeft in die week geen activiteit vertoond', stelt [de woordvoerder]. Volgens [de woordvoerder] was de techniek die de hacker gebruikte 'dusdanig ingenieus' dat het oplossen van de hack niet is gelukt. Samen met [een ICT-beveiligingsbedrijf] is de dreiging opgelost, aldus het bedrijf. Waar de hackers naar op zoek waren en wat ze hebben gevonden, is onduidelijk. Ook hoe de hack heeft plaatsgevonden, is onbekend. Het bedrijf werkt samen met de politie om de zaak op te lossen." [Bron]

"Het telecomconcern heeft alle relevante instanties over de inbraak geïnformeerd, waaronder het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta en het Openbaar Ministerie. Het bedrijf gaat na een diepgaande analyse bekijken hoe klanten en servers nog beter kunnen worden beschermd tegen aanvallen van hackers." [Bron]

"Tijdens het onderzoek dat het bedrijf instelde werd duidelijk dat onbevoegden toegang hadden tot de server en dat ze software hadden geïnstalleerd. Toen was het voor KPN menens. 'De systemen staan in het domein waar ook Internetplus Bellen staat', stelt een zegsvrouw. Zij wijst erop dat een verstoring van die dienst tot gevolg kan hebben dat mensen geen 112 kunnen bellen. 'Toen hebben wij de autoriteiten geïnformeerd.' Dat was ook het moment om Code Rood af te roepen over het bedrijf. Dit betekent dat er een acuut probleem verholpen moet worden. Een team van zo'n honderd medewerkers heeft in de periode 27 januari tot en met 3 februari 24 uur per dag gewerkt. Een belangrijke taak naast het onderzoek was het stapsgewijs stilletjes patchen van de omgeving zonder dat de dagelijkse operatie werd verstoord. Ook werd toen het strafrechtelijk onderzoek gestart." [Bron]

"Om de hackers niets te laten vermoeden dat ze ontdekt waren, bereidde KPN naar eigen zeggen een stille switch voor. 'Een nachtelijke omzetting op opgeschoonde nieuwe platforms voor onze klantservers. Dit om de hacker niet te alarmeren dat wij hem op het spoor waren waardoor deze daadwerkelijke schade zou kunnen gaan aanrichten, in verband met de opsporing en om geen onnodige onrust te veroorzaken over de continuïteit van de dienstverlening.' Uit eigen informatie zou echter blijken dat de aanvallers zich sinds 20 januari niet meer op de servers van KPN hebben laten zien. De 'switch' werd uiteindelijk op 3 februari afgerond. 'Wij hadden tot 8 februari onze klanten nog niet geïnformeerd in het belang van het lopende onderzoek naar de zaak en vanwege de technische afwikkeling, dit alles in overleg met de betrokken instanties.'" [Bron]

"KPN heeft per direct de e-mailaccounts van twee miljoen gebruikers geblokkeerd omdat klantgegevens gestolen en deels gepubliceerd zijn. Het gaat om e-mailaccounts van KPN.nl, Planet.nl en Hetnet.nl. Vanmiddag werden de gegevens van ruim 500 gebruikers gepubliceerd. Het ging onder andere om e-mailadressen, adresgegevens, telefoonnummers en onversleutelde wachtwoorden." [Bron]

"Klanten van KPN kunnen sinds zes uur zaterdagavond weer e-mailen. Dat is later dan gepland. Het onlangs gehackte telecombedrijf moest extra capaciteit bijplaatsen om het stuwmeer aan berichten te verwerken dat zich het afgelopen etmaal had opgehoopt. Dat kostte meer tijd en moeite dan voorzien." [Bron]

"Het Openbaar Ministerie heeft een strafrechtelijk onderzoek ingesteld naar het hacken van adres- en inloggegevens bij KPN. [...] Telecomwaakhond Opta gaat onderzoeken of KPN de zorgplicht heeft geschonden, laat een woordvoerster weten. Uit het onderzoek moet blijken of het bedrijf genoeg maatregelen heeft genomen om ervoor te zorgen dat de beveiliging op orde is. Opta kan eventueel sancties opleggen." [Bron]

"Thuiswinkel.org gaat de beveiliging van webwinkel Baby-Dump.nl zondag nauwkeurig onderzoeken. Daaruit moet duidelijk worden of de winkel het Thuiswinkel-keurmerk mag behouden. Aanleidig voor het onderzoek is de lijst met ruim 500 persoonsgegevens die vrijdag online verscheen. De gegevens leken eerst van KPN-klanten te zijn, maar uit onderzoek van NU.nl bleek dat het om klanten van de verkoper in babymaterialen ging. Volgens Baby Dump gaat het om verouderde data van waarschijnlijk meer dan een jaar geleden. Er zouden namelijk onlangs wijzigingen in het systeem van de webwinkel zijn doorgevoerd om lekken tegen te gaan. Wat er precies heeft plaatsgevonden kon een woordvoerder van Baby Dump niet zeggen." [Bron]

"'Door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT systemen niet steeds optimaal is geweest. En daar trekken we lessen uit', zegt [de directeur] van KPN. Ook in het informeren van klanten kan er nog wel wat verbeterd worden, voegt [de directeur] toe. 'Wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren.' KPN zegt nu sneller meer geld vrij te maken voor verbetering van de ict-systemen. Het bedrijf zegt in stilte een overgang te maken naar een 'volledig nieuw beveiligde' omgeving. 'Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in security maar ook in modernisering van de systemen zelf.' Ook het management van de it-afdeling gaat op de schop en het webcareteam wordt met ingang van volgende maand uitgebreid." [Bron]

"KPN richt een groot ICT-bewakingscentrum op om het eigen netwerk veel beter te bewaken. Deze 'war-room' moet zo snel mogelijk operationeel worden." [Bron]

"Om getroffen klanten te compenseren werd een speciaal schademeldpunt geopend, waar klanten een claim in konden dienen. 'In totaal hebben 1260 klanten gebruik gemaakt van het meldpunt. Er zijn 995 claims ingediend, waarvan er 750 zijn toegewezen, 203 zijn afgewezen en 42 nog in behandeling zijn. In totaal zal KPN circa 100.000 euro uitkeren', zo laat de telecomaanbieder op de eigen website weten." [Bron]

"Het Openbaar Ministerie heeft jeugddetentie en een werkstraf geëist tegen een 18-jarige verdachte die KPN in januari 2012 hackte. [...] In het politieonderzoek is naar voren gekomen dat de jongen hackte uit verveling en ook wel voor de lol. De gevolgen leken hem allemaal echter weinig te kunnen schelen, aldus de officier van justitie van het Landelijk Parket. De door het OM geëiste jeugddetentie bestaat uit een onvoorwaardelijk deel van 43 dagen en een voorwaardelijk deel van 12 maanden met een proeftijd van twee jaar. De hoogte van de geëiste werkstraf is 200 uur." [Security.nl, 2013-05-25]

"Vanwege ontoelaatbaar internetgedrag was de verdachte in 2010 al door KPN gewaarschuwd. Zijn internetaansluiting is toen enige tijd afgesloten. Dat heeft hem er niet van weerhouden om verder te gaan met het binnendringen in computersystemen tot letterlijk aan het moment van zijn aanhouding." [Openbaar Ministerie, 2013-06-07]

"De rechtbank van Rotterdam heeft een 18-jarige verdachte vandaag acht maanden voorwaardelijke jeugddetentie en een werkstraf van 100 uur opgelegd wegens het hacken van KPN in januari 2012." [Security.nl, 2013-06-07]

Bronnen

12/02/08

• Nu.nl: Telecombedrijf KPN gehackt
• Security.nl: Server KPN gehackt, maar niets gestolen
• Tweakers.net: Hacker had toegang tot privégegevens KPN-klanten - update
• WebWereld: Hacker kraakt server met klantgegevens KPN

12/02/09

• AG: KPN gehackt
• Tweakers.net: 'Hack bij KPN kinderlijk eenvoudig door verouderde software'
• WebWereld: Hacker - Verouderde systemen nekten KPN

12/02/10

• Nu.nl: Wachtwoorden KPN-klanten gepubliceerd
• Nu.nl: KPN-hackers konden internetverkeer inzien
• Nu.nl: KPN belooft beterschap na hack
• Nu.nl: 'Gehackte servers KPN waren slecht beveiligd'
• Security.nl: KPN houdt vol - geen klantgegevens gestolen
• Security.nl: Hacker publiceert gestolen KPN-klantgegevens *update*
• Security.nl: KPN blokkeert 2 miljoen e-mailadressen
• Tweakers.net: KPN-hackers konden verkeer klanten mogelijk onderscheppen
• Tweakers.net: KPN haalt maildienst offline na publicatie accountgegevens
• WebWereld: KPN lekt persoonsgegevens 500 klanten - update

12/02/11

• AG: Marktplaats schermt honderden accounts af
• AG: Klanten KPN kunnen weer e-mailen
• Naked Security: Dutch ISP KPN hacked, credentials and personal information leaked
• Nu.nl: KPN-klanten kunnen weer e-mailen
• Nu.nl: OM waarschuwt voor misbruik gegevens KPN
• Nu.nl: Gelekte e-mailgegevens niet van KPN
• Nu.nl: Strafrechtelijk onderzoek naar hack KPN
• Security.nl: KPN-klanten kunnen weer e-mailen
• Security.nl: KPN e-mailaccounts volledig geactiveerd
• Security.nl: Gestolen KPN-wachtwoorden afkomstig uit webshop
• Tweakers.net: KPN - e-mailaccounts worden zaterdag weer toegankelijk - update
• Tweakers.net: KPN heeft mailaccounts weer toegankelijk gemaakt

12/02/12

• Nu.nl: Thuiswinkel test beveiliging Baby Dump
• Nu.nl: Klanten willen vergoeding van KPN
• Security.nl: SP wil opheldering over KPN-hack
• Security.nl: 30.000 KPN-klanten wijzigen wachtwoord
• Tweakers.net: Thuiswinkel.org voert veiligheidsscan uit op webwinkel Baby Dump
• Tweakers.net: KPN opent meldpunt voor schade door e-mailstoring
• WebWereld: 'KPN-lek' blijkt Lektober-nasleep van Baby-Dump.nl

12/02/13

• AG: Gelekte gegevens waarschijnlijk niet van KPN
• AG: Klanten KPN willen schadevergoeding
• AG: KPN neemt maatregelen na hackaanval
• Computable: KPN maakt balans op na hack
• Nu.nl: Twee miljoen excuses van KPN
• Nu.nl: KPN neemt versneld veiligheidsmaatregelen na hack
• Omroep Brabant: Baby-Dump tast in duister na lek persoonsgegevens
• Security.nl: KPN zet schadeformulier voor klanten online
• Security.nl: KPN zegt twee miljoen keer sorry
• Security.nl: KPN - onderhoud IT-systemen niet optimaal
• Security.nl: Thuiswinkel.org biedt geen garantie tegen hackers
• Tweakers.net: KPN - onderhoud gehackte systemen was 'niet optimaal'
• WebWereld: KPN-claims vanaf vanmiddag in te dienen
• WebWereld: KPN haalt ict-organisatie overhoop na hack
• WebWereld: Iedereen schuldig aan KPN-lek Baby-Dump

12/02/14

• Computable: Pronkende hacker dwong KPN tot maatregelen
• Security.nl: 225.000 KPN-klanten wijzigen wachtwoord
• Security.nl: 'KPN-hack geen gevaar voor nationale veiligheid'

12/02/15

• Jurel: Excuses van KPN - Twee miljoen maal om de verkeerde redenen

12/02/17

• KPN: KPN verbetert klantinformatie na wijzigen wachtwoord
• Security.nl: KPN stuurt wachtwoord en e-mailadres in één brief
• Telegraaf: Brief KPN valt verkeerd

12/02/18

• Nu.nl: Aantal schademeldingen KPN stokt

12/02/19

• Security.nl: KPN ontvangt 500 klachten over e-mailverstoring

12/02/20

• AG: Aantal schademeldingen KPN stokt
• Nu.nl: Ministers erkennen ernst KPN-hack
• Tweakers.net: Kabinet - hackers konden KPN-verkeer manipuleren

12/02/22

• IT en Recht: De hack bij KPN

12/02/25

• Security.nl: 613.000 KPN-klanten wijzigen wachtwoord

12/03/01

• AG: KPN laat webshops in de kou staan

12/03/19

• AG: KPN treft beveiligingsmaatregelen
• AG: KPN keert ton schadevergoeding uit
• Computable: KPN neemt anti-hackmaatregelen
• Nu.nl: Gehackt KPN bouwt permanent crisiscentrum
• Security.nl: KPN lanceert security operations center
• Security.nl: KPN-klanten krijgen ton na afsluiting e-mail
• Tweakers.net: KPN ontdekt kwetsbaarheden in eigen systemen na hack
• WebWereld: Gehackt KPN zegt sorry

12/03/26

• Nu.nl: 17-jarige opgepakt voor KPN-hack
• Security.nl: Politie arresteert 17-jarige wegens KPN-hack
• Tweakers.net: Politie arresteert zeventienjarige verdachte KPN-hack
• WebWereld: Cyberpolitie pakt hacker van honderden KPN-servers

12/03/27

• AG: Tiener opgepakt voor hack bij KPN
• Computable: Politie verdenkt KPN-hacker van meer
• Naked Security: 17-year-old Dutch hacker arrested for accessing KPN servers
• Nu.nl: 17-jarige bekent hacken KPN
• Security.nl: 17-jarige KPN-hacker bekent schuld
• Tweakers.net: Verdachte hack KPN bekent schuld
• WebWereld: Koreaanse kraak werd 17-jarige KPN-hacker fataal

12/04/07

• Security.nl: 17-jarige KPN-hacker mogelijk ook creditcarddief
• VK.nl: 'Zo'n jonge KPN-hacker, daar sta je wel even van te kijken'

12/04/08

• Security.nl: Leeftijd KPN-hacker verraste Nationale Recherche

12/05/02

• Nu.nl: KPN-hacker komt op vrije voeten
• Security.nl: 17-jarige KPN-hacker krijgt internetverbod
• Tweakers.net: Verdachte KPN-hack vrijgelaten maar hij mag niet internetten

12/05/03

• AG: Jonge KPN-hacker op vrije voeten

12/05/11

• Nu.nl: KPN-hacker voorlopig op vrije voeten

12/06/12

• WebWereld: KPN gaat op privacymissie na vermeende hack

2013-05-25

• Security.nl: OM eist jeugddetentie en werkstraf tegen KPN-hacker
• WebWereld: Jeugddetentie en werkstraf geëist tegen KPN-hacker

2013-06-07

• Openbaar Ministerie: Jeugddetentie en werkstraf voor KPN-hacker
• Security.nl: KPN-hacker krijgt 100 uur taakstraf
• Tweakers.net: KPN-hacker krijgt taakstraf en korte celstraf

2013-06-08

• WebWereld: Korte celstraf en taakstraf voor 18-jarige KPN-hacker

2013-06-11

• Ius Mentis: Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

2014-05-23

• WebWereld: Securitybaas - KPN-hack een wake-up-call