D9D1E2

Datalekken in Nederland

2012

Beheeraccounts 140.000 zakelijke ADSL-gebruikers toegankelijk door gebruik standaard wachtwoord (12/07/05)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

KPN.

Verwerking

Beheer zakelijk ADSL.

Betrokkenen

"[...] 140.000 zakelijke ADSL-klanten [...]" [WebWereld, 12/07/05]

Soort (persoons)gegevens

"Achter deze inlog, het zogeheten Customer Self Center, kunnen zakelijke ADSL-klanten hun persoons- en contactgegevens, bankrekeningnummer, soort abonnement zien n wijzigen. Ook kan het wachtwoord hier worden gewijzigd. Daarnaast kunnen aanvullende diensten als pinnen over IP en zakelijk alarm worden aan- of uitgezet. En derden konden dit alles dus ook. Deze website is bovendien niet versleuteld met SSL." [WebWereld, 12/07/05]

Type incident

Inbreuk op de beveiliging en potentieel ook op beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Iedereen kon met minimale inspanning inloggen op het beheeraccount van abonnees van zakelijke ADSL. KPN heeft namelijk abonnees jarenlang het standaard wachtwoord 'welkom01' gegeven. Dit wachtwoord hoefde niet gewijzigd te worden en is daarom ook door een grote meerderheid ook nooit gewijzigd. In combinatie met de vaste, eenvoudig te achterhalen gebruikersnaam van 'postcode+huisnummer' kan een onbevoegde in principe toegang verkrijgen tot circa 140.000 accounts. [...] Om de zaak te vergemakkelijken kan een ieder een lijst van KPN zakelijke ADSL-klanten inzien via een zoekactie op de site van RIPE NCC. In totaal heeft KPN zakelijke ADSL zo'n 180.000 klanten, onder wie grote concerns als Sony Benelux en verschillende securitybedrijven zoals Fox-IT. Het account van de laatste was overigens niet toegankelijk, maar die van Sony wel, bleek uit steekproeven. Webwereld werd getipt over het privacylek bij KPN door [een medewerker van een ict-dienstverlener] die de basale zwakten bij toeval ontdekte." [WebWereld, 12/07/05]

"In veel gevallen verstrekt KPN aan nieuwe zakelijke adsl-klanten bij het afsluiten van het abonnement een standaardwachtwoord voor toegang tot de online self care-omgeving (varianten op de term welkom1'). Klanten kunnen dit dan zelf wijzigen in een eigen wachtwoord. Na de tip heeft KPN geconstateerd dat een kleine 120.000 van de in totaal 180.000 klanten dit standaardwachtwoord niet heeft gewijzigd. Daarnaast blijkt dat circa 20.000 klanten de gebruikersnaam k als wachtwoord gebruikt." [Computable, 12/07/05]

Respons van de organisatie

"Na melding bij KPN heeft het telecomconcern dinsdag prompt de toegang tot site geblokkeerd. Bovendien stuurt KPN momenteel 140.000 klanten een mailtje dat ze hun wachtwoord alsnog verplicht moeten wijzigen bij de eerstvolgende inlog, want alle 'welkom01' wachtwoorden zijn door KPN gereset. De site is naar verwachting vanmiddag weer bereikbaar. 'We waren ons niet bewust van deze kwestie, maar hier is het beveiligingsniveau tekort geschoten', aldus KPN in een reactie. 'We hebben de Self Service portal meteen dichtgegooid en ondernemen nu aan aantal stappen om de procedures bij het aanmelden en inloggen veiliger te maken. We willen de tipgever bedanken. Dergelijke meldingen vinden we erg waardevol.' Op termijn wil KPN de Self Service portal integreren in Mijn KPN, maar wanneer dat gaat gebeuren is nog onduidelijk. KPN zegt geen aanwijzingen te hebben dat er accounts zijn gekaapt, en stelt dat de gegevens achter de inlog niet direct enorm geheim zijn. [...] KPN meldt zelf dat circa 120.000 klanten het welkom01-wachtwoord hadden. Daarnaast gebruikten ongeveer 20.000 klanten hun gebruikersnaam ook als wachtwoord. De wachtwoorden van al deze 140.000 klanten zijn gereset." [WebWereld, 12/07/05]

"Op donderdag 5 juli 2012 gaat de online self care-omgeving van KPN rond 12.00 uur weer live. Klanten hebben een e-mail ontvangen met uitleg over de situatie, instructie voor het aanmaken van een nieuw wachtwoord en tips over hoe een veilig wachtwoord te kiezen. Klanten kunnen vanaf dat moment weer inloggen. Voor ongeveer 40.000 klanten is dit met hun bekende, zelfgekozen wachtwoord, de andere 140.000 klanten moeten een nieuw wachtwoord aanmaken." [Computable, 12/07/05]

Bronnen

12/07/05

12/07/12

.