De maatregelen die ict-dienstverlener KPN moest nemen nadat er klantgegevens waren gelekt waren onnodig omdat een Amerikaanse hacker wilde pronken met een hack die hij niet heeft gedaan. Dit meent een Nederlandse ethical hacker die anoniem wil blijven. ‘KPN is bij deze inbraak helemaal niet gehackt. De man uit Chicago heeft de naam van KPN geschaad en heeft het bedrijf op onnodige, torenhoge kosten gejaagd.'
De Nederlandse hacker is niet te spreken over de werkwijze van zijn Amerikaanse ‘collega'. ‘Hier in Nederland wist een ethical hacker zich wel toegang te verschaffen tot een core router in het KPN-netwerk. Deze Nederlander heeft hier melding van gemaakt bij KPN en het bedrijf heeft hier passende en afdoende maatregelen op genomen. De 49-jarige Amerikaan uit Chicago, opererend onder de naam Schoolboy1, heeft vervolgens de goede naam van KPN misbruikt om twee eerdere hacks van hem zelf naar buiten te brengen. Dit waren hacks van een amateuristisch niveau, maar doordat daar wel gegevens van KPN-klanten tussen zaten, wilde hij scoren.'
Chronologische volgorde
De anonieme hacker legt chronologisch uit wat er precies gebeurd is. Zijn verhaal begint op 20 maart 2010 toen de Amerikaanse hacker data van de website Baby-Dump wist te ontvreemden. Zijn tweede hack was in december 2011 bij Creation Point, waar gegevens werden buitgemaakt van onder andere Bavaria en waarschijnlijk opnieuw Baby-Dump. De gegevens uit deze databases werden aan elkaar gekoppeld en werden gefilterd op ‘kpn.nl'. Dit leverde uiteindelijk 539 adressen op die op Pastebin.com zijn gepubliceerd.
Doordat in de lijst met verschillende velden werd gewerkt en sommige velden verdwenen waren, komen de gegevens volgens de Nederlandse hacker uit minimaal twee databases. Van de 539 adressen klopte minder dan 15 procent nog, wat doet vermoeden dat het om oude data gaat. In totaal kwamen 537 adressen ook op Marktplaats voor. ‘Dan weet je dat het niet uit de KPN-database komt', aldus de hacker.
Reputatieschade
Wat de Nederlandse ethical hacker nog het meeste dwars zit, is dat de Amerikaanse hacker naamsbekendheid wilde krijgen, terwijl hij niet eens data van KPN zelf heeft ontvreemd. ‘KPN is onnodig in de problemen gebracht, want het bedrijf heeft bij deze hack niets fout gedaan. KPN heeft afgelopen weekend keihard moeten werken en heeft zelfs twee miljoen e-mailadressen offline moeten halen. De dienstverlener heeft hierdoor enorme, financiële schade geleden en dan heb ik het nog niet eens over de reputatieschade. Dit is een smet op het ethische werk dat wij proberen te doen.'
Officiële reactie Baby-Dump
Afgelopen zaterdag werden wij geconfronteerd met het nieuws dat klantgegevens van ons bedrijf op internet gepubliceerd zouden zijn. Uiteraard hebben wij direct een onderzoek ingesteld en daaruit bleek dat het weliswaar om gegevens van onze klanten ging, maar dat het een bestand van een paar jaar oud betrof.
Uit veiligheid hebben wij toch meteen alle wachtwoorden van al onze webwinkelklanten uit onze systemen verwijderd. Als u met uw account wilt inloggen, wordt u automatisch gevraagd een nieuw wachtwoord aan te maken.
Belangrijk:
Als u uw oude wachtwoord, al dan niet in combinatie met uw gebruikersnaam, ook op andere plekken heeft gebruikt, bijvoorbeeld bij andere webwinkels, op Facebook, Hyves, (web)mail of Marktplaats, dan adviseren wij u dit meteen te wijzigen.
Onderzoek:
Wij zijn sinds zaterdag met man en macht bezig om te onderzoeken hoe onze klantgegevens in handen van derden konden komen. Dat onderzoek is in volle gang en zodra wij meer duidelijkheid hebben zullen wij u dat via onze website laten weten. Inmiddels hebben wij, net als KPN, aangifte gedaan bij het Openbaar Ministerie.
Wij bieden u onze excuses aan voor het ontstane ongemak. Wij betreuren het dat u en wij slachtoffer zijn geworden van kwaadwillende mensen die geen respect hebben voor andermans bezit.
Uw veiligheid:
Net als vele andere webwinkels met ons, doen wij er alles aan om de veiligheid van uw gegevens te kunnen waarborgen. De diefstal van onze klantgegevens is van enkele jaren geleden, dat is helaas niet meer terug te draaien. Maar, naar aanleiding daarvan hebben wij diverse testen en controles, ook door onafhankelijke organisaties, laten uitvoeren en zoals het zich nu laat aanzien, is onze webwinkel veilig.
Wij zijn er van overtuigd dat u veilig kunt winkelen bij ons. Mocht u naar aanleiding van het voorgaande nog vragen hebben, neemt u dan contact met ons op. Wij hebben een speciaal team samengesteld om al uw vragen zo snel mogelijk te kunnen beantwoorden.
Het doet me goed te lezen dat de gehele ophef te wijten is aan iemand van buiten die geen hack bij KPN heeft gemaakt.
Wel lijkt het er veel op dat hij bewust op KPN heeft gefilterd en daardoor wellicht bewust KPN in een kwaad daglicht heeft willen stellen. Zoals gemeld in het artikel, kost dit veel reputatieschade (zou de uitleg in dit artikel ook zo groot in de Telegraaf komen???) en de financiele schade zal vermoedelijk niet verhaald kunnen worden bij de amerikaan.. 🙁
Oh, er bestaat dus ook zoiets als de “Nederlandse ethical hacker” . Dan ben ik wel benieuwd naar de “pay-off” van zo een bijzonder hobby!
@SrvcMgr
Sterker nog: Er zijn opleidingen voor. Al jaren….
Zie hier de nieuwe trend. Zo zullen er ook nog wel wat chantage praktijken in de toekomst uit gaan zien.
“Geef mij geld anders doe ik jullie een hoop imagoschade aan.”
Overigens lees ik nu ineens veel berichten die dit voorbeeld meteen aanhalen als gevaar van cloud computing. Het tegenovergestelde is echter waar! Als je eigen IT hebt, maar niet veel weet van security (lees: Zo’n beetje de hele MKB) ben je dus kwetsbaarder met je server park. Door uit te besteden aan een expert (cloud computing bedrijven vallen hier vaak onder) maak je je IT veiliger.
De basis is: Elke PC met internet toegang is een mogelijke kwetsbaarheid.
In de huidige tijd kan het zelfs moeilijk zijn om te weten dat of je nou wel of niet gehackt bent 🙂
Monitoren waar je bestanden blijven (vdss.nl) lijkt voor de toekomst een essentieel onderdeel van je automatiseringsbeleid!
@Henri Koppen; Op zich heb je daar een punt, maar evenals bij ‘veilige’ kernenergie, gaat het een keer mis dan gaat het ook goed mis en is de schade niet te overzien. Verouderde data van een Baby dump, ach.. Alle credit card info daarintegen…
Dat was helemaal geen ethical hacker, hoe vaak moeten we dat nog uitleggen… een ethical hacker zou door KPN zijn ingehuurd voor een pentest, en had dan niet anoniem hoeven blijven. Of wel, schendt zijn NDA en is dan alsnog geen ethical hacker.
Les 1 van de opleiding Certified Ethical Hacker van EC-Council, en dat is niet de beste opleiding, de andere zullen daar niet minder strikt in zijn: wat je bedoelingen ook zijn, zonder toestemming van degene die je hackt is het *nooit* ethical hacking.
@Henri:
Ik snap je reactie niet omtrent security en cloud computing!
Het is al bekend dat security nu nog een van de zwakste kanten van Cloud en de diensten uit Cloud is! Tal van voorbeelden zijn er die deze kunenn bewijzen.
Security in de cloud heeft niet alleen te maken met het internet maar ook met de overige zaken zoals klanten die naast jou op dezelfde server/database/hardware en nog meer andere gezamenlijke plekjes draaien.
Het beveiligen van je data en toegang tot het internet in je eigen ICT kun je ook aan externe leveranciers geven. Hierdoor bespaar je je interne ICT veel ellende, kosten, SLA-ruzie etc die je van Cloud zou krijgen.
Ik heb het al gezegd: ” Cloud is in de ontwikkelingsfase”!
De hacker heeft duidelijk aangetoond dat naast technical hacking social hacking ook heel veel invloed kan hebben op de bedrijfsvoering van een onderneming. KPN heeft dat niet tegen kunnen gaan dus in die zin hebben ze wel degelijk een dure les geleerd.
En er worden nog zoveel hacks onder de pet gehouden of simpelweg nooit ontdekt. Die informatie die daar buit wordt gemaakt wordt verhandeld door internationale cybercriminelen en zal nagenoeg nooit tot de originele bron terug te leiden zijn.
Als het dan een Amerikaan betreft, moet KPN dan maar eens de FBI inschakelen (die willen ook zoveel informatie van ons) en aldaar een ‘Lawsuit’ starten en de gemaakte kosten op die meneer verhalen.
Qua Ethical Hacking Payoff, wat is er mis mee om iemand die een lek heeft aangetoond in te huren het te dichten?