'Gehackte servers KPN waren slecht beveiligd'

DEN HAAG - De persoonlijke gegevens van klanten van KPN konden openbaar worden, omdat servers slecht waren beveiligd en het aan onderhoud schortte, beweert een van de hackers tegenover NU.nl.

Woensdag werd duidelijk dat een inbraak heeft plaatsgevonden in een server van KPN. Volgens het bedrijf gaat het om gegevens van klanten, zoals naam, adres, woonplaats, telefoonnummer en bankrekeningnummer. Maar volgens de hacker zou het om meer gaan.

Volledige toegang

"Het is altijd interessant om te zien of een internetprovider als KPN zijn zaakjes op orde heeft wat betreft de beveiliging", zegt de hacker die op voorwaarde van anonimiteit als woordvoerder optreedt.

De hackers zouden KPN niet gericht als doelwit hebben gekozen, maar hebben gezocht naar zwakheden in systemen. Toen duidelijk werd dat ze hadden ingebroken bij het telecombedrijf, hebben ze verder gekeken welke informatie toegankelijk was.

"Toen bleek dat we heel eenvoudig door middel van een exploit [misbruikbare zwakheid – redactie] binnen konden komen. Alle servers van KPN waren op dat moment kwetsbaar." De hack was niet het werk van een eenzame hacker, maar van een groep. In het samenwerkingsverband zitten zowel Nederlanders als Russen.

Veel gegevens

De hackers kwamen met beheerdersrechten binnen in een administratief systeem van het bedrijf. Zo konden ze ook een beheerderswachtwoord achterhalen. Dat bleek niet erg sterk gekozen 'g1rlp0w3r' (leesbaar: girlpower) te zijn. Al snel bleek ook dat meer computers toegankelijk waren.

De hackers verwierven niet alleen toegang tot adresgegevens en bankrekeningnummers, maar ook tot informatie die gebruikt wordt voor het beheren van internetaansluitingen. Zo was er een omgeving waarbij klanten in quarantaine worden geplaatst als hun computers met virussen besmet zijn. "Die konden we zo weer online zetten als we zouden willen", claimt de hacker. "Ook zou je hiermee zo mensen kunnen afsluiten van internet."

Gedownload

Anders dan KPN beweert zegt de hacker dat er wel degelijk gegevens zijn gedownload. Daaruit zou blijken dat in de database klantgegevens honderdduizenden mensen staan.

Die bewering is niet te controleren, omdat de hackers de gegevens inmiddels zeggen te hebben vernietigd. Dat is gebeurd, omdat het doel van de aanval alleen was om de kwetsbaarheid aan te tonen. "We hadden geen kwaad in de zin, maar willen wel de zwakheden blootleggen", stelt de woordvoerder van de hackers.

Die goede intenties zag KPN niet. Het bedrijf heeft aangifte bij het Openbaar Ministerie, dat inmiddels een onderzoek is gestart. "Dat betreuren wij", zegt de hacker. Hij stelt dat de hackers, toen duidelijk werd dat het om KPN ging, hebben besloten om niet naar buiten te treden of melding te doen. "Als je dit bij een bedrijf meldt dan krijg je problemen."

Code rood

KPN heeft ondersteuning gevraagd bij het National Cyber Security Center, en melding van het incident gemaakt bij de OPTA en het Ministerie van Economische Zaken.

Die laatste stap is vooruitlopend op een komende meldplicht bij datalekken gezet. Sinds kort hanteert KPN een kleurcodering bij beveiligingsproblemen, en sinds eind januari is voor het eerst 'code rood' afgekondigd. Dat is het hoogste alarmniveau voor grote incidenten, waarbij de organisatie zich volledig richt op het verhelpen van dit probleem.

24 uur

In dit geval betekende code rood dat er een groot team is geformeerd en continu is gewerkt, laat KPN in een toelichting weten. In de periode van 27 januari tot en met 3 februari is volgens KPN een team van zo'n honderd mensen actief geweest. De werkzaamheden gingen 24 uur per dag door. Toen duidelijk was dat er werd gewerkt met verouderde programmatuur op de systemen zijn de updates stap voor stap doorgevoerd. De druk om zo op te schalen was groot, omdat de hackers volgens KPN de mogelijkheid hadden om eventueel InternetPlus Bellen te verstoren. "In het ergste geval was het dan niet mogelijk geweest voor die klanten om 112 te bellen", stelt een zegsvrouw tegenover NU.nl. "Dat is geen optie, want wij zijn wettelijk verplicht dat door te geven. Op dat moment moet je ook de autoriteiten inlichten."

© NU.nl/Brenno de Winter

Laatst gewijzigd: 10-02-2012 00:12