Managed hosting door True

KPN maakt balans op na hack

Dienstverlener zegt te leren van malaise

 

Hacker

Ict-dienstverlener KPN maakt na een roerig weekend de balans op nadat het interne netwerk gehackt werd. Het bedrijf voerde in stilte een volledig nieuw beveiligde omgeving in en schakelde twee miljoen e-mailaccounts uit en weer in omdat er mogelijk klantgegevens waren gelekt. KPN zegt geleerd te hebben van de ontstane situatie en de maatregelen die genomen moesten worden.

De grootschalige omzet-operatie van de KPN e-mailaccounts van het afgelopen weekend heeft voor twee miljoen klanten betekend dat hun normale e-mail tijdelijk uit de lucht was. Nadat alle e-mailaccounts weer volledig live waren, heeft KPN alle klanten het advies gegeven om hun wachtwoord te wijzigen.

Informeren en communiceren

‘De recente ontwikkelingen hebben een grote impact gehad op onze klanten en op onze organisatie', zegt bestuursvoorzitter en ceo van KPN Eelco Blok. ‘Het is nog te vroeg om volledig te evalueren, maar na een turbulent weekend kunnen we al vaststellen dat we dingen goed en dingen fout hebben gedaan. Op het gebied van onze systemen, op het gebied van onze beveiliging, maar ook op het gebied van het informeren van en communiceren met onze klanten. Daar hebben we van geleerd.'

Nadat een lijst met privé-gegevens van klanten op het internet was gepubliceerd, kon KPN niet uitsluiten dat gegevens van klanten in handen van derden met kwade bedoelingen waren gevallen. Toen is de beslissing genomen om de e-maildienst van onze klanten tijdelijk uit de lucht te nemen. Joost Farwerck, directeur KPN Nederland: ‘Afgelopen vrijdag hebben wij het zekere voor het onzekere moeten nemen. Dit als voorzorgsmaatregel om ervoor te zorgen dat onze klanten zo veilig mogelijk kunnen e-mailen. Voor die keuze nemen wij de volle verantwoordelijkheid.' Uiteindelijk bleken de gelekte gegevens van KPN-klanten niet bij KPN zelf te zijn buitgemaakt, maar waren deze verkregen door een hack van een website die handelt in babyspullen.

Uitbreiding Webcare-team

Eerder kondigde KPN aan investeringen te gaan doen in de dienstverlening. ‘Een deel van de investeringen die zijn aangekondigd, zal met voorrang in onze ict-systemen worden gedaan', aldus Farwerck. ‘Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in beveiliging maar ook in modernisering van de systemen zelf. Daarnaast zullen we op korte termijn een aantal wijzigingen in de besturing van de ict-organisatie doorvoeren, om de kwaliteit en effectiviteit te vergroten. De afgelopen weken hebben de noodzaak daartoe nog eens onmiskenbaar duidelijk gemaakt. Om de dienstverlening aan klanten verder te verbeteren zal het KPN Webcare-team in maart worden uitgebreid.'

Diverse experts hebben in hun analyse rondom de digitale inbraak gesuggereerd dat KPN met ernstig verouderde systemen werkt en dat bovendien verzuimd is om regelmatig updates uit te voeren. Farwerck geeft toe dat het onderhoud aan internet-ict-systemen niet steeds optimaal is geweest.

Kracht in techniek

KPN heeft van diverse kanten het verwijt gekregen dat het te traag is geweest in het informeren van klanten. Eelco Blok is het hier niet helemaal mee eens. ‘Er zijn ingrijpende en ook goede afwegingen gemaakt, juist in het belang van onze klanten en het continueren van de dienstverlening. Maar aan de andere kant is het zeker waar dat wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren. In de techniek ligt traditioneel onze kracht, maar onze klant moet onze hoogste prioriteit hebben.'

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4390358). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Wat vervelend om in alle online nieuwsberichten de zefde huisvrouwenprietpraat te moeten lezen. "omdat klantgegevens waren gelekt" is niet hetzelfde als "omdat men aanvankelijk dacht dat er klantegegevens waren gelekt". De toonzetting is op z'n minst stemmingmakend van hoog Telegraaf gehalte. :( Dat dit achteraf niet het geval bleek te zijn wordt in het hele artikel niet eens vermeld. Computable laat zich gebruiken door een hackertje dat een jaar geleden een webshop heeft gehackt. Dat zegt iets over de kwaliteiten van Computable.

OT: plaatje bij het artikel: ROFL - hacken in een pak met das en bivakmuts... Ook handig om je laptop met een hand in de lucht voor je te houden, voorkom je dan RSI of zo?

Wat een beleid! Hieruit blijkt nogmaals dat het belang van security updates/patches ernstig wordt onderschat. Dit zou een vast onderdeel in een security-plan moeten zijn. Dit wordt vaak over het hoofd gezien of uitgesteld, omdat systemen 'highly-available' moeten zijn en dus weinig tot geen onderhoud aan deze systemen kan/mag plaatsvinden. Niet alleen bij KPN is het security beleid achterhaald, maar ook bij andere (grote) bedrijven. Er wordt gewoonweg te weinig aandacht en geld besteed aan het security-aspect. De verwachting is dat meerdere bedrijven op korte termijn achter de feiten zullen aanlopen.

@Peter,

Dit artikel is gebaseerd op een officiële verklaring van KPN zelf. Met een hacker heb ik (helaas) geen contact gehad. Ik zal nog even naar de tekst kijken om het iets duidelijker voor je te maken.

Wel weer een gemiste kans van KPN is de manier waarop men zijn klanten heeft gevraagd om het wachtwoord te wijzigen. Men heeft een URL mee gestuurd waarmee dit kan, in plaats van te wijzen naar de standaard procedures voor wachtwoord wijzigingen.
Dit kan net zo goed een phishing mail zijn, om de wachtwoorden te achterhalen.

Is het wel een hack? Als je als bedrijf jezelf slecht beveiligd, waardoor iemand naar binnen kan, ben je dan gehacked? Als je je achterdeur niet op slot doet 's nachts, is er dan ingebroken ? Anyway, iemand heeft zich onbevoegd toegang tot een computersysteem verschaft. AL kan ik het niet Hacken noemen.
Wel weer stuitend hoe grote organisaties steeds vaker in het nieuws komen door slecht omgaan met beveiliging. Als het kalf verdronken is dempt men de put. Ofwel als het netwerk gehacked is gaat men wat aan de veiligheid doen. Waarom niet vooraf. Waarom kan ik als gebruiker alleen maar 'vertrouwen' op mooie praat, maar niet op een onmafhankelijke audit ? Waarom wordt gewoon niet elke zaterdag op zondagnacht tussen 0200 en 0500 een patchronde ingelast (of zijn dan de beheerders te duur?).

Ik vind het werkelijk triest hoe makkelijk de KPN hier mee omgaat. Nu een nieuw beveiligingsysteem introduceren is wel mostert na de maaltijd. KPN had zijn verantwoordelijkheid en maatregelen al in een vroeg stadium moeten nemen. Mogelijk zijn deze klantgegevens al eerder van de servers afgehaald en zijn er echte kwaadwillenden hiermee al aan de slag gegaan zonder de media in te lichten.
Zij pretenderen een goed en volwaardig product aan te bieden maar dit blijkt dus een wassen neus te zijn.
Niet de(ze) hacker moet vervolgd worden maar m.i. juist de KPN vanwege de nalatigheid en het niet tijdig inspelen op security ontwikkelingen!

@Bert Ze hebben er wel iets meer over nagedacht hoor. Je kunt het alleen doen vanaf een aansluiting in de woonplaats waar je het abonnement op hebt, en je moet een deel van je rekeningnummer, dat bij het abonnement hoort invoeren. Dat gaat dus niet zomaar...

De enige die door heeft wat er aan de hand is, is volgens mij Peter van de eerste reactie. Het interne netwerk van KPN ís helemaal niet gehackt als ik het goed begrijp. Dat KPN wél in paniek raakte is natuurlijk logisch: het zit daar niet helemaal goed met de IT-infrastrucuur.

Ik geef al maanden aan dat de interne organisatie niet klopt.De linker hand weet niet wat de rechter hand doet.Hopelijk wordt de directie eens wakker.Beveiliging en communiceren werkt niet bij de KPN.

Begrijp ik het nou goed? Is er sprake van een internet winkel (in baby spullen) die in het bezit zijn van gebruiker accounts en wachtwoorden van de internet provider(s, in dit geval KPN). Zo ja, wat moet een derde partij met provider wachtwoorden behorende bij e-mail adressen van klanten?

Dagelijks worden er creditcard gegevens door hackers onderschept en wordt hier voor miljarden mee gefraudeerd. De boefjes echter publiceren deze gegevens niet, de banken vergoeden de schade ( aan de slachtoffers sigaar uit eigen doos). Het verhaal blijft stil en de schade wordt verdeeld over alle klanten. KPN meldde initieel dat er geen gegevens waren ontvreemd/gekopieerd, tot het er op leek dat de boefjes de onderschepte informatie hadden gepubliceerd en KPN het niet meer stil kon houden, was de beer los. Wat is erger? Mijn mail box in foute handen? Mijn bank gegevens in foute handen? Of dat ik zo naief ben te geloven dat internet dichtgetimmerd kan worden. Het prachtige idee van internet was, dat IEDEREEN OVERAL bij kan.

@Sander Huisman

Voor zover ik het hele verhaal heb meegekregen heeft KPN onmiddellijk "schuld bekend" nadat er ergens rook zichtbaar werd, onder het mom van "waar rook is is waarschijnlijk ook vuur". Als op mijn netwerk iets gebeurt is mijn eerste reactie ook "Shit. Wij hebben iets fout gedaan. Ik ga er meteen mee aan de slag." en dat wordt dan eveneens als schuldbekentenis aangemet. Volgens mij zegt elke marketeer dat in de moderne tijd een dergelijke stellingname de juiste handelwijze is. Dus niet hard gaan ontkennen, maar verantwoordelijkheid toegeven en acttie ondernemen. En dat is volgens mij wat KPN gedaan heeft. Hulde aan KPN? Nee, dat niet. Maar ook geen boegeroep.

Wat we hier van kunnen leren: Gebruik nooit dezelfde passwords bij het aanmaken van accounts op verschillende web-sites. Zeker niet als je baby-spulletjes gaat aanschaffen op het Internet. Gebruik vooral nooit je Internet-bankieren password voor andere accounts en verander je e-mail account password regelmatig.

Voor bedrijven als KPN: onderzoek eerst (maar wel snel) de ernst van de situatie voordat je maatregelen neemt. Nu zijn er onnodig buiten proportionele maatregelen genomen waar bijzonder veel klanten last van hebben gehad (met als gevolg veel negatieve publiciteit).

Wat mij betreft zou het wettelijk verboden moeten worden om passwords van klanten (al dan niet geëncrypt) op te slaan. Dat is namelijk helemaal niet nodig voor authenticatie.

Beste practice is om een hash code te bepalen op basis van de combinatie van user name + password + salt (een constante) en deze hash code op te slaan i.p.v. het password.

Als je de credentials van een user wilt verifiëren bereken je opnieuw de hash code, die je dan vergelijkt met de opgeslagen hash code. Met een dergelijke zogenoemde "one way encryption" is het oorspronkelijke password nooit te achterhalen.

Ik moet zegge het wat dit betreft maar ten dele met dhr. Blok eens te kunnen zijn. Het zijn namelijk de klanten die een bedrijf bestaansrecht verschaffen en niet andersom. Dat is toch iets anders dan hier weer naar voren komt.

In een eerder artikel had ik reeds aangehaald dat het niet alleen verouderde systemen en afwezigheid van de essentiële updates betrof. Veel ernstiger is namelijk de achterliggende reden en oorzaak. KPN heeft, evenals veel andere organisaties, om totaal verkeerd oogpunt, vele bekwame krachten 'losgelaten' om deze te vervangen door 'goedkopere' krachten.

Zie hier het resultaat. Vervanging en saneringen hebben zo'n vlucht genomen dat de kwaliteit, waar de klanten uiteindelijk voor betalen, aan ernstige erosie onderhevig is geweest met alle gevolgen van dien. Dat betekend ook dat de processen en procedures die zijn gevolgd, volkomen zijn veronachtzaamd of, en dat zou vele malen erger zijn, er is helemaal geen draaiboek voor calamiteiten zoals deze.

Ik kan me nog steeds niet aan de indruk onttrekken dat KPN erg overtrokken heeft gereageerd en op geen enkel moment communicatief regie heeft weten te voeren. In ieder geval is dit door de meerderheid van de gebruikers als arrogant en afstandelijk ervaren.

Als professional kan ik alleen maar toejuichen dat heer Blok deze stappen heeft gezet maar klaarblijkelijk pas nadat het leed, wat zeker had kunnen voorkomen, sterker nog, niet eens plaats had mogen vinden, was geschied.

Staat de KPN in deze op zich? Ik weet vanuit professioneel oogpunt dat er anderen organisaties zijn die met exact dezelfde zaken kampen als de KPN nu is overkomen en het meest jammerlijke is dat ook dhr Blok niet helemaal schijnt te begrijpen dat IT juist een materie is waarbij je zaken kunt voorzien en dus ook kan voorkomen.

Dit heeft alleen plaats kunnen vinden doordat er verkeerde keuzes zijn gemaakt ogenschijnlijk uit winstbejag en met de crisis als excuus. Jammer.

De werkelijke gebeurtenissen zijn inmiddels in kaart gebracht en ik vind dat KPN degelijk en correct heeft geacteerd, Well done, KPN. Zelf heb ik er last van gehad en heb wel wat gegevens uit mijn webmail omgeving overgeheveld naar andere omgevingen die mij veiliger en betrouwbaarder lijken. Hoe dan ook, blijf ik grotendeels zelf verantwoordelijk voor mijn data. Wat het MKB met mijn internetshop gegevens doet heb ik geen tot weinig invloed op. In dit geval heeft de internet winkel ook snel en gereageerd door alle data te verwijderen. En ook bestaande klanten te vragen weer een nieuw account aan te maken.

KPN is een groot bedrijf, daar gaat nu eenmaal meer fout dan bij een bedrijf met veel minder klanten! En gaat dat gelijk bij de pers onder het vergrootglas, Telegrof journalistiek, een poll op Nu.nl over opzeggen van KPN abonnement... Natuurlijk moeten ze de security wel op peil houden, de oplossing van Franck van der Sluijs met hash-codes lijkt me een prima aanbeveling voor KPN. Verder hebben ze het naar mijn idee goed aangepakt, alleen jammer dat ik mijn website nog niet kan beheren, is nog niet vrijgegeven.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×