De maatregelen die ict-dienstverlener KPN moest nemen nadat er klantgegevens waren gelekt waren onnodig omdat een Amerikaanse hacker wilde pronken met een hack die hij niet heeft gedaan. Dit meent een Nederlandse ethical hacker die anoniem wil blijven. ‘KPN is bij deze inbraak helemaal niet gehackt. De man uit Chicago heeft de naam van KPN geschaad en heeft het bedrijf op onnodige, torenhoge kosten gejaagd.'
De Nederlandse hacker is niet te spreken over de werkwijze van zijn Amerikaanse ‘collega'. ‘Hier in Nederland wist een ethical hacker zich wel toegang te verschaffen tot een core router in het KPN-netwerk. Deze Nederlander heeft hier melding van gemaakt bij KPN en het bedrijf heeft hier passende en afdoende maatregelen op genomen. De 49-jarige Amerikaan uit Chicago, opererend onder de naam Schoolboy1, heeft vervolgens de goede naam van KPN misbruikt om twee eerdere hacks van hem zelf naar buiten te brengen. Dit waren hacks van een amateuristisch niveau, maar doordat daar wel gegevens van KPN-klanten tussen zaten, wilde hij scoren.'
Chronologische volgorde
De anonieme hacker legt chronologisch uit wat er precies gebeurd is. Zijn verhaal begint op 20 maart 2010 toen de Amerikaanse hacker data van de website Baby-Dump wist te ontvreemden. Zijn tweede hack was in december 2011 bij Creation Point, waar gegevens werden buitgemaakt van onder andere Bavaria en waarschijnlijk opnieuw Baby-Dump. De gegevens uit deze databases werden aan elkaar gekoppeld en werden gefilterd op ‘kpn.nl'. Dit leverde uiteindelijk 539 adressen op die op Pastebin.com zijn gepubliceerd.
Doordat in de lijst met verschillende velden werd gewerkt en sommige velden verdwenen waren, komen de gegevens volgens de Nederlandse hacker uit minimaal twee databases. Van de 539 adressen klopte minder dan 15 procent nog, wat doet vermoeden dat het om oude data gaat. In totaal kwamen 537 adressen ook op Marktplaats voor. ‘Dan weet je dat het niet uit de KPN-database komt', aldus de hacker.
Reputatieschade
Wat de Nederlandse ethical hacker nog het meeste dwars zit, is dat de Amerikaanse hacker naamsbekendheid wilde krijgen, terwijl hij niet eens data van KPN zelf heeft ontvreemd. ‘KPN is onnodig in de problemen gebracht, want het bedrijf heeft bij deze hack niets fout gedaan. KPN heeft afgelopen weekend keihard moeten werken en heeft zelfs twee miljoen e-mailadressen offline moeten halen. De dienstverlener heeft hierdoor enorme, financiële schade geleden en dan heb ik het nog niet eens over de reputatieschade. Dit is een smet op het ethische werk dat wij proberen te doen.'
Officiële reactie Baby-Dump
Afgelopen zaterdag werden wij geconfronteerd met het nieuws dat klantgegevens van ons bedrijf op internet gepubliceerd zouden zijn. Uiteraard hebben wij direct een onderzoek ingesteld en daaruit bleek dat het weliswaar om gegevens van onze klanten ging, maar dat het een bestand van een paar jaar oud betrof.
Uit veiligheid hebben wij toch meteen alle wachtwoorden van al onze webwinkelklanten uit onze systemen verwijderd. Als u met uw account wilt inloggen, wordt u automatisch gevraagd een nieuw wachtwoord aan te maken.
Belangrijk:
Als u uw oude wachtwoord, al dan niet in combinatie met uw gebruikersnaam, ook op andere plekken heeft gebruikt, bijvoorbeeld bij andere webwinkels, op Facebook, Hyves, (web)mail of Marktplaats, dan adviseren wij u dit meteen te wijzigen.
Onderzoek:
Wij zijn sinds zaterdag met man en macht bezig om te onderzoeken hoe onze klantgegevens in handen van derden konden komen. Dat onderzoek is in volle gang en zodra wij meer duidelijkheid hebben zullen wij u dat via onze website laten weten. Inmiddels hebben wij, net als KPN, aangifte gedaan bij het Openbaar Ministerie.
Wij bieden u onze excuses aan voor het ontstane ongemak. Wij betreuren het dat u en wij slachtoffer zijn geworden van kwaadwillende mensen die geen respect hebben voor andermans bezit.
Uw veiligheid:
Net als vele andere webwinkels met ons, doen wij er alles aan om de veiligheid van uw gegevens te kunnen waarborgen. De diefstal van onze klantgegevens is van enkele jaren geleden, dat is helaas niet meer terug te draaien. Maar, naar aanleiding daarvan hebben wij diverse testen en controles, ook door onafhankelijke organisaties, laten uitvoeren en zoals het zich nu laat aanzien, is onze webwinkel veilig.
Wij zijn er van overtuigd dat u veilig kunt winkelen bij ons. Mocht u naar aanleiding van het voorgaande nog vragen hebben, neemt u dan contact met ons op. Wij hebben een speciaal team samengesteld om al uw vragen zo snel mogelijk te kunnen beantwoorden.
Uhhm. “…, want het bedrijf [KPN] heeft niks fout gedaan”. ?
Alweer vergeten dat er wel ingebroken is bij KPN ?
De gepubliceerde gegevens waren danwel niet afkomstig van KPN, maar helemaal smetvrij is KPN niet !
KPN heeft zich uit de tent laten lokken. Achteraf onnodig om 2 miljoen mailboxen af te sluiten. Blijkbaar onvoldoende vertrouwen in de eigen security. Terecht of onterecht, toch een domme aktie van KPN. Schade door een eigen domme aktie kun je niet verhalen.
Ik deel de mening van Edwin. Maar als je dit soort acties uitvoert dan laat dat toch zien dat er enige twijfel is over de security van je eigen omgeving. Het doet mij toch vermoeden dat er toch het 1 en ander niet goed is ingeregeld.
Waar rook is, is vuur.
Als KPN de mailboxen niet had gesloten was de hel los gebroken omdat er waarschijnlijk ook een paar combinaties op de webmail werkten. En daarmee ook op de mijnKPN waar ook bankgegevens en eventuele koppelingen zijn met andere KPNdiensten.
Iemands gegevens en mail zijn dan openbaar.
KPN heeft geen mogelijkheid gehad om een keuze te maken die niet zou schaden. In alle gevallen van keuzes werden zij er op aangekeken.
Voordat het internet bestond had je gesloten systemen. Zogenaamd oubollig, maar ijzersterk, waterdicht beveiligd en 24 uur per dag 365 dagen per jaar beschikbaar. Alleen niet voor de gewone man en hackers hadden nauwelijks kans. Cloud en virtualisatie was niks nieuws dus waar de centrale computer(s) stond(en) was niet belangrijk; alles werkte. Ik ben niet tegen internet (kan ook zeer handig zijn en maak er zelf veelvuldig gebruik van) maar heb wel mijn twijfels over alle lekken en rotzooi eromheen. Het wordt tijd dat er een nieuw protocol voor de zakenwereld en de wetenschap wordt ontwikkeld, net zo waterdicht als van die gesloten “oubollige” systemen van voorheen, maar dan met nieuwe technologieen en niet openbaar voor iedereen. Het is nu dweilen met de kraan open. Werk aan de winkel en een nieuwe uitdaging om van dit soort shit af te komen. Kan het internet van nu voor de hobbyist blijven bestaan.
@Reza: Je schrijft “Het is al bekend dat security nu nog een van de zwakste kanten van Cloud en de diensten uit Cloud is! Tal van voorbeelden zijn er die deze kunnen bewijzen.”
Welke voorbeelden bedoel je dan precies? 99 van de 100 voorbeelden die ik ken zoals baby-dump, en bijv. die KPN hack hebben namelijk niets te maken met cloud computing. Ook de Diginotar & Sony Network zijn geen voorbeelden van hacks op cloud computing. Dat zijn dus de traditionele netwerken en systemen die gehackt zijn.
Dropbox heeft 4 uur open gestaan zodat iedereen bij alle accounts zou kunnen komen. Hier is geen misbruik van gemaakt. Amazon heeft een paar zwakke plekken. Veel daarvan zijn inmiddels opgelost en er is geen of nagenoeg geen misbruik van gemaakt. Google is vorig jaar heel zwaar aangevallen waarschijnlijk uit China. Hier is inderdaad een poging geslaagd, maar de schade die de hacker heeft veroorzaakt is zeer beperkt gebleven (of dat doet Google ons geloven).
Cloud providers zoals Microsoft met Azure, Amazon met AWS, Salesforce met Force.com zijn vanaf de grond af opgebouwd met het samen delen van resources en dus ook de beveiliging daarvan. Cloud computing is volop in ontwikkeling maar dat geldt ook voor heel veel andere zaken.
Waar je misschien op doelt en waar ik me ook wel in kan vinden is dat cloud computing in veel gevallen nog niet geschikt is voor bedrijven om er helemaal op over te stappen. Daar zijn nog veel hobbels te nemen. Ook is het een gevaar dat de VS dominant zijn in hun gedrag en veel cloud computing uit de VS komt. Ook zijn er veel rampscenario’s in cloud computing nog niet volwassen en hikken we ook nog tegen wat bandbreedte aan.
Veel bedrijven brengen als servers onder bij andere providers. Huren en leasen enzo. Maar dit is geen cloud computing, dit is vaak gewoon hosting en virtualisatie. Als die servers niet goed beheerd worden zijn ze kwetsbaar.
Oh, nu vergeet ik 1 aanvulling.
Een zwakke kant van cloud computing is dat toegang vaak verkregen wordt met enkel een username en wachtwoord. Dit is vooral minder veilig door het menselijke aspect (het zelfde wachtwoord voor meerdere diensten gebruiken). Google heeft al hele mooie 2-weg verificatie waardoor je dus een token (je smartphone) naast je gebruikersnaam en wachtwoord nodig hebt om in te loggen. Dit is al een hele goede stap in de richting.
En als laatste teaser: Wanneer zijn er GMail accounts gehackt, anders dan dat men achter iemand gebruikersnaam en wachtwoord is gekomen? Security zit vaak wel goed, het is de privacy waar ik soms kippenvel van krijg.
Ik heb het hele debacle met grote interesse gevolgd. Er zijn wat dingen die mij toch wel hogelijk hebben verbaasd.
Incident
KPN is pas werkelijk, ogenschijnlijk, in actie getreden toen de betreffende hacker claimde data van de KPN on line te hebben gezet. Plots zag ik allerlei bewegingen van de KPN die uiteindelijk dan leidde tot het afsluiten van die twee miljoen mailboxen.
Intrusion
Even afgaande op publicaties begreep ik dat er traces zijn gevonden die hebben geduid op een intrusion en dat dat al enkele weken bestond. Dat gegeven op zich, als dat klopt, is al erg verbazingwekkend.
Communicatie
Naar buiten toe is de communicatie van KPN uit naar de media en eigen klanten er ‘pover’ en soms ronduit inconsistent en tegenstrijdig geweest.
Uiteraard kan ik alleen maar voor mij zelf spreken, zonder dat ik werkelijk alle details ken. Maar vanuit een professioneel oogpunt komen een paar dingen mij dan ook erg verbazingwekkend over.
Verify
Ik heb nergens ook maar iets kunnen bespeuren dat er iemand, na publicatie van die betreffende lijst, binnen de KPN de moeite heeft genomen eens een goede blik te werpen op die betreffende lijst en deze heeft vergeleken met de persoonsgegevens van de KPN zelf.
Had men dat gedaan dan had men heel snel kunnen vast stellen dat de betreffende lijst in elk geval niet afkomstig kon zijn geweest van de systemen van de KPN. Ergo, men had bepaalde vervolg actie dan ook achterwege kunnen laten.
Dit staat haaks op elke stap die men in een IT crisis situatie zou moeten nemen. Ik concludeer daar dan alleen al uit dat er geen duidelijke IT crisis proces is en ware die er wel, dat deze dan wel erg slecht is opgevolgd.
Gevolgen
De gevolgen laten zich raden natuurlijk. Door het afsluiten van al die mailboxen, iets wat een uiterste stap zou moeten zijn, heeft men zichzelf aanzienlijke naams en reputatieschade toegebracht. Immers, men zou ook hebben kunnen overwegen een extra stap in te lassen door alle gebruikers te ‘prompten’ een nieuw password te bedenken en in te voeren. Het betreft hier slechts het gebruik te maken van een eenvoudig scriptje en dat zou zeker te uit te leggen zijn geweest.
Nu heeft de betreffende ‘hacker’ een puntje binnengesleept door de veroorzaker te zijn van wat roering waarop een tikje overdreven is gereageerd.
Vervolg communicatie
Ook in de vervolg communicatie zag men zaken fout gaan. Bepaalde vragen werden niet naar voldoening beantwoord en, om even met de mening en gevoelens van velen te spreken, de KPN heeft bijzonder ‘arrogant en afstandelijk’ gereageerd op vragen die werden gesteld of om de onrust onder KPN gebruikers weg te nemen.
Navraag
Navraag van ondergetekende bij de KPN heeft uitgewezen dat men, vanuit professioneel IT oogpunt, vrijwel geen vragen ‘wenste’ te beantwoorden waarbij mij het gevoel opriep dat betrokkene niet eens ntwoord had op die vragen.
Vrije conclusie
Ik kan bijna niet anders dan concluderen dat men kennis, kunde en ervaring, om welke reden dan ook, heeft laten verwateren waardoor er juist in ‘crisis’ situaties als deze vrij ‘spastisch’ is gehandeld en soms zelfs met paniek. Ik weet dat er binnen de KPN de nodige saneringen hebben plaats genomen waarbij hele goede en ervaren professionals uit winstbejag werden vervangen door vaak de goedkoopste krachten.
In de praktijk komt dit gewoonweg neer dat je de bedrijfscontinuïteit aan erosie bloot stelt dat dit soort zaken en reacties kunnen gebeuren. Ik weet, vanuit professioneel oogpunt, dat deze situatie niet een op zich staande is. Er zijn andere providers waar de situatie weinig anders is. Bij overheden ziet men het zelfs nog vaker voor komen.
Betreurenswaardig
Als professional, met kennis en ervaring van incident management op brede schaal, vind ik de stand van zaken en gang van zaken betreurenswaardig. Het staat namelijk haaks op waar IT voor staat en voor zou moeten staan. Besparen door automatiseren. Helaas denkt men de IT als materie nog steeds te kunnen gebruiken als ‘bespaar post’. Dom arrogant en ook dat heeft uiteraard een prijskaartje. Zie dit geval, een hele dure me dunkt.
Iets wat zeker te voorkomen had kunnen worden.
De meeste providers beschouwen de klantomgeving als “(technisch) niet veilig” vanuit hun eigen security beleid en richtlijnen en hebben daadwerkelijk (en aantoonbaar) de security beter op orde dan de klanten. Het grootste probleem zit hem in de hoeveelheid wachtwoorden die mensen tegenwoordig moeten bewaren en hoe daarmee wordt omgegaan cq. wordt onderhouden. Geef ze de kost maar die en briefje met hun Username/WW in hun bureaula hebben liggen omdat ze door de bomen het bos niet meer zien. En wat dacht je van alle apps die JOUW gegevens kunnen koppelen en doorsluizen omdat je er zelf ooit toestemming voor hebt gegeven. Vooral leuk als het social media apps zijn die prive en werk door elkaar laten gaan lopen.
Persoonlijk vind ik de beste oplossing een soort van TOKEN of TAN (waar ook veel bedrijven al mee werken) die je in staat stellen om periodiek een verificatie te doen van de identiteit en aanwezigheid van users. Deze oplossingen kosten uiteraard wel geld en worden als lastig ervaren.
Technisch blijft alles mogelijk, ook in de toekomst. Dit soort pers-uitingen maakt mensen wel meer bewust van de risico’s en wat zij er zelf aan kunnen doen. Alleen naar KPN wijzen en hun tekortkomingen is dus wellicht wat erg kort door de bocht (maar wel lekker makkelijk natuurlijk).
Een passende (proportionele) aktie van KPN had zich moeten richten op de lijst van 500 accounts (mogelijk zelfs maar +/- 200 die nog actueel en echt exposed waren. Het maakt nogal een verschil of je 2 miljoen of 200 accounts afsluit. Verder een algemene instructie met de boodschap om niet telkens het zelfde passworde te gebruiken naar alle accounts. Dat was een passende en reactie geweest.
PS
Een natuurlijk je systemen op het juiste patch level houden (maar dat heeft hier niets mee te maken). Blijft slecht dat het nu naar buiten is gekomen dat KPN dat niet goed op orde heeft.