De maatregelen die ict-dienstverlener KPN moest nemen nadat er klantgegevens waren gelekt waren onnodig omdat een Amerikaanse hacker wilde pronken met een hack die hij niet heeft gedaan. Dit meent een Nederlandse ethical hacker die anoniem wil blijven. ‘KPN is bij deze inbraak helemaal niet gehackt. De man uit Chicago heeft de naam van KPN geschaad en heeft het bedrijf op onnodige, torenhoge kosten gejaagd.'
De Nederlandse hacker is niet te spreken over de werkwijze van zijn Amerikaanse ‘collega'. ‘Hier in Nederland wist een ethical hacker zich wel toegang te verschaffen tot een core router in het KPN-netwerk. Deze Nederlander heeft hier melding van gemaakt bij KPN en het bedrijf heeft hier passende en afdoende maatregelen op genomen. De 49-jarige Amerikaan uit Chicago, opererend onder de naam Schoolboy1, heeft vervolgens de goede naam van KPN misbruikt om twee eerdere hacks van hem zelf naar buiten te brengen. Dit waren hacks van een amateuristisch niveau, maar doordat daar wel gegevens van KPN-klanten tussen zaten, wilde hij scoren.'
Chronologische volgorde
De anonieme hacker legt chronologisch uit wat er precies gebeurd is. Zijn verhaal begint op 20 maart 2010 toen de Amerikaanse hacker data van de website Baby-Dump wist te ontvreemden. Zijn tweede hack was in december 2011 bij Creation Point, waar gegevens werden buitgemaakt van onder andere Bavaria en waarschijnlijk opnieuw Baby-Dump. De gegevens uit deze databases werden aan elkaar gekoppeld en werden gefilterd op ‘kpn.nl'. Dit leverde uiteindelijk 539 adressen op die op Pastebin.com zijn gepubliceerd.
Doordat in de lijst met verschillende velden werd gewerkt en sommige velden verdwenen waren, komen de gegevens volgens de Nederlandse hacker uit minimaal twee databases. Van de 539 adressen klopte minder dan 15 procent nog, wat doet vermoeden dat het om oude data gaat. In totaal kwamen 537 adressen ook op Marktplaats voor. ‘Dan weet je dat het niet uit de KPN-database komt', aldus de hacker.
Reputatieschade
Wat de Nederlandse ethical hacker nog het meeste dwars zit, is dat de Amerikaanse hacker naamsbekendheid wilde krijgen, terwijl hij niet eens data van KPN zelf heeft ontvreemd. ‘KPN is onnodig in de problemen gebracht, want het bedrijf heeft bij deze hack niets fout gedaan. KPN heeft afgelopen weekend keihard moeten werken en heeft zelfs twee miljoen e-mailadressen offline moeten halen. De dienstverlener heeft hierdoor enorme, financiële schade geleden en dan heb ik het nog niet eens over de reputatieschade. Dit is een smet op het ethische werk dat wij proberen te doen.'
Officiële reactie Baby-Dump
Afgelopen zaterdag werden wij geconfronteerd met het nieuws dat klantgegevens van ons bedrijf op internet gepubliceerd zouden zijn. Uiteraard hebben wij direct een onderzoek ingesteld en daaruit bleek dat het weliswaar om gegevens van onze klanten ging, maar dat het een bestand van een paar jaar oud betrof.
Uit veiligheid hebben wij toch meteen alle wachtwoorden van al onze webwinkelklanten uit onze systemen verwijderd. Als u met uw account wilt inloggen, wordt u automatisch gevraagd een nieuw wachtwoord aan te maken.
Belangrijk:
Als u uw oude wachtwoord, al dan niet in combinatie met uw gebruikersnaam, ook op andere plekken heeft gebruikt, bijvoorbeeld bij andere webwinkels, op Facebook, Hyves, (web)mail of Marktplaats, dan adviseren wij u dit meteen te wijzigen.
Onderzoek:
Wij zijn sinds zaterdag met man en macht bezig om te onderzoeken hoe onze klantgegevens in handen van derden konden komen. Dat onderzoek is in volle gang en zodra wij meer duidelijkheid hebben zullen wij u dat via onze website laten weten. Inmiddels hebben wij, net als KPN, aangifte gedaan bij het Openbaar Ministerie.
Wij bieden u onze excuses aan voor het ontstane ongemak. Wij betreuren het dat u en wij slachtoffer zijn geworden van kwaadwillende mensen die geen respect hebben voor andermans bezit.
Uw veiligheid:
Net als vele andere webwinkels met ons, doen wij er alles aan om de veiligheid van uw gegevens te kunnen waarborgen. De diefstal van onze klantgegevens is van enkele jaren geleden, dat is helaas niet meer terug te draaien. Maar, naar aanleiding daarvan hebben wij diverse testen en controles, ook door onafhankelijke organisaties, laten uitvoeren en zoals het zich nu laat aanzien, is onze webwinkel veilig.
Wij zijn er van overtuigd dat u veilig kunt winkelen bij ons. Mocht u naar aanleiding van het voorgaande nog vragen hebben, neemt u dan contact met ons op. Wij hebben een speciaal team samengesteld om al uw vragen zo snel mogelijk te kunnen beantwoorden.
Wat ik dan weer ongelofelijk dom vind, is dat ik mijn wachtwoord, nadat ik het gewijzigd heb, nog eens PER BRIEF van KPN krijg opgestuurd. Ligt het via de KPN postkamer en/of PostNL toch weer op straat! Toch?
Het is mijns inziens tekenend voor de onkunde van journalisten en de KPN (ben zelf ook eigenaar van zo’n account) dat de volgende vragen niet gesteld zijn:
1. De media berichten over leesbare wachtwoorden. Hoe is het in s’hemelsnaam mogelijk dat wachtwoorden in klare taal/letterlijk opgeslagen worden? Dat is technisch niet nodig. Als wachtwoorden op een goede manier gehashd dan wel encrypted zijn opgeslagen waren de accounts hoe dan ook veilig geweest.
2. Als de wachtwoorden bij KPN wel encrypted zijn opgeslagen begrijp ik die paniek over 500 accounts helemaal niet. Dan hebben de verantwoordelijken er kennelijk niets van begrepen. Alternatief rijst het vermoeden dat KPN de wachtwoorden inderdaad letterlijk opslaat.
3. Als journalist was zou ik de KPN op de keper af vragen of wachtwoorden wel of niet letterlijk in hun database zitten. Dan weten we meteen hoe dat zit.
4. Domme paniek is erg duur. Zwakke kennis nog duurder.