http://www.nu.nl/internet/2736276/telecombedrijf-kpn-gehackt.htmlquote:Telecombedrijf KPN gehackt
Laatste update: 8 februari 2012 18:29 info
DEN HAAG - Telecombedrijf KPN is vorige maand door onbekenden gehackt. De hackers wisten zich toegang te verschaffen tot servers die de klantgegevens bevatten, bevestigde het bedrijf woensdag.
Toen KPN de digitale inbraak ontdekte, zijn onmiddellijk maatregelen getroffen om de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen.
Samen met een gespecialiseerd bedrijf zegt KPN het lek te hebben gedicht. Het is niet bekend van hoeveel klanten de gegevens zijn ingezien.
Het telecomconcern heeft alle relevante instanties over de inbraak geïnformeerd, waaronder het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta en het Openbaar Ministerie. Het bedrijf gaat na een diepgaande analyse bekijken hoe klanten en servers nog beter kunnen worden beschermd tegen aanvallen van hackers.
Wel funny. Op de radio werd net verteld dat KPN er pas laat achter kwam, toen dacht de hackers te verjagen (lol?) en er pas een maand later weer achterkwam dat de hackers nog steeds volledige toegang hadden waarbij KPN hulp van buiten inschakelden en één week later de officiele instanties informeerden. Totaal tegenstrijdig met dit nu.nl bericht en gaat KPN hier niet belachelijk mee om?
Wat weg is is weg.quote:Toen KPN de digitale inbraak ontdekte, zijn onmiddellijk maatregelen getroffen om de gegevens van klanten te beschermen en om de dienstverlening ongestoord en veilig te blijven verzorgen.
Massadeceptie
Je zou maar bij KPN zitten, je gegevens....
Bronquote:Wachtwoord
In de configuratiebestanden staan inloggevens voor het beheren van DNS-servers. Opmerkelijk daarbij is dat deze IP-servers ook via internet te vinden zijn, terwijl er wordt gewerkt met niet-publieke internetadressen. Daarmee geeft KPN publiek informatie over de eigen infrastructuur weg.
Uit het bestand blijkt ook dat het wachtwoord g1rlp0w3r niet echt sterk is gekozen. Het configuratiebestand ziet er als volgt uit:
g1rlp0w3r
wtfquote:
Heb net een bundel van ze
!Dit soort omgevingen zou wachtwoord niet eens zo belangrijk moeten zijn, dat is nog wel minst erge, dat dit soort omgevingen uberhaupt van buiten bereikbaar zijn is een grof schandaal.quote:
Dat deze systemen dan ook nog eens niet fysiek gescheiden zijn van andere systemen (zoals het bellen) is helemaal bizar.quote:Op vrijdag 10 februari 2012 10:37 schreef raptorix het volgende:
Dit soort omgevingen zou wachtwoord niet eens zo belangrijk moeten zijn, dat is nog wel minst erge, dat dit soort omgevingen uberhaupt van buiten bereikbaar zijn is een grof schandaal.
De hacker heeft naar mijn weten ook nog eens een bestand van 16 GIG aan data buit gemaakt, dat lijkt er dus op dat hij direct een database heeft kunnen queryen met alle records, of een export buit heeft gemaakt, dit soort essentieele systemen zou je op deze manier nooit mogen kunnen raadplegen.quote:
[..]
Dat deze systemen dan ook nog eens niet fysiek gescheiden zijn van andere systemen (zoals het bellen) is helemaal bizar.
Wat ik trouwens ook heel veel zie is dat men productie omgevingen dan heel goed afschermt, maar vrolijk een complete database dump terug stuurt naar een development team, het is vaak niet eens kwaad bedoeld, maar gewoon questie van laksheid.
Ander ding wat maar al te vaak gebeurt is dat men CSV bestanden "tijdelijk" in een webroot zet, en ze vergeet weg te halen, in combinatie met open dirretje al helemaal een dodelijke combinatie.
Kwam van de week weer een CSV tegen van een grote organisatie, welke ik uiteraard nog niet kan noemen omdat ze het nog niet gefixed hebben.
quote:Vanmiddag verschenen op de website Pastebin de accountgegevens van ongeveer 500 KPN-gebruikers. Het is de verwachting dat deze gegevens buit zijn gemaakt bij de hack die twee dagen geleden werd ontdekt.
Als reactie op het bekendmaken van de persoonlijke gegevens heeft KPN haar maildiensten offline gehaald, zo meldt Tweakers.net.
Van de meer dan 500 KPN klanten lekte de naam, het adres, de postcode, de woonplaats, het telefoonnummer, het 06-nummer, het e-mail adres en het wachtwoord uit.
De woordvoerder van KPN wil geen meldingen doen over de lek, los van het bericht dat het onderzoek naar de hack in volle gang is. Gebruikers op Twitter konden bevestigen dat de persoonsgegevens kloppen, zo stelt Tweakers.net. Ook stelt de website dat maar liefst 16 gigabyte aan informatie buit is gemaakt door de hackers, al is het moeilijk te zeggen wat voor informatie is dit. Ook wilde KPN deze 16 gigabyte niet bevestigen.
http://www.powned.tv/nieu(...)kend_na_kpnhack.html
Kon ook makkelijk daar inloggen met de gegevens. Je zal maar bij ING zitten en hetzelfde ww hebben...
Ja inderdaad alleen van KPN. Echter heel veel mensen gebruiken dezelfde ww voor verschillende sitesquote:
welk wachtwoord is dit precies, die van Mijn KPN toch??
quote:
Ik zit bij KPN.
Als er maar niks met mijn gegevens gebeurd is ....ik zou zeggen; ga het na.quote:
[..]
Ik zit bij KPN.
http://pastebin.com/2vYRVMtq
Wij staan er niet tussen. Gelukkig maar. Familie en buren staan er ook niet tussen.quote:
[..]
ik zou zeggen; ga het na.
http://pastebin.com/2vYRVMtq
Ik wil uit voorzorg de wachtwoorden gaan veranderen, maar MijnKPN is ook al offline.
Ik sta er niet tussen.quote:
[..]
ik zou zeggen; ga het na.
http://pastebin.com/2vYRVMtq
mwah, als kpn blijft liegen dan dumpen de hackers vanzelf alle gegevens online. Dan kunnen we er wel eens tussen staanquote:
Op quote:Op vrijdag 10 februari 2012 @ 19:34 schreef MaGNeT het volgende:
Ik vermoed dat klanten van de KPN sowieso t/m dinsdag geen gebruik zullen kunnen maken van hun e-mail.
Waarom?
- alle wachtwoorden van klanten (alle!) bij KPN moeten gereset worden
- deze kunnen niet gemaild worden (duh)
- deze zullen ouderwets per brief verstuurd moeten worden
- al verzenden ze het morgen, dan wordt er maandag meestal niets bezorgd
- op z'n vroegst heb je dan dinsdag je nieuwe wachtwoorden
Ook fijn voor de bedrijven die nog een POP connector op de server gebruiken voor al hun mail-accounts
Ze kunnen het ook als een Torrent online zetten in een versleuteld bestand en dan dreigen het wachtwoord openbaar te maken. Dat hebben we eerder gezien bij Anonymous.quote:Op vrijdag 10 februari 2012 19:27 schreef .Neovo. het volgende:
[..]
mwah, als kpn blijft liegen dan dumpen de hackers vanzelf alle gegevens online. Dan kunnen we er wel eens tussen staan
Als iemand het voor de gein zou doen, zou het al dreigend genoeg zijn; zonder het wachtwoord kan je onmogelijk aantonen of dat bestand van 16Gb wél of niet echt is.
het schijnt dat ze wel gecodeerd waren opgeslagen, hoe en wat weet ik ook nhiet preciesquote:
Waarschijnlijk dan met zwakke beveiliging, welke op zo een grote hoeveelheid binnen enkele minuten te kraken is.quote:
[..]
het schijnt dat ze wel gecodeerd waren opgeslagen, hoe en wat weet ik ook nhiet precies
Heb ook nog een abonnement van KPN. Nog maar eens heroverwegen of het wel een goed idee is.
De kans is groter dan dat men alle wachtwoorden heeft, dan dat het niet zo is.quote:Op vrijdag 10 februari 2012 21:06 schreef Doodloper het volgende:
Dus eerst is er niks uitgelekt en zegt KPN "er is niks buitgemaakt door de hackers", dan 'lekken' er 500 wachtwoorden uit en zegt KPN "oh, er zijn er toch wel 500 buitgemaakt". What's next: alles vrijgeven en KPN die zegt "whoops, alles is buitgemaakt"?
2 miljoen accounts, heb je in plain text, in 10 minuten binnen.
Idd, zeker als de hacker(s?) 16GB aan data heeft binnengehaald.quote:
[..]
De kans is groter dan dat men alle wachtwoorden heeft, dan dat het niet zo is.
2 miljoen accounts, heb je in plain text, in 10 minuten binnen.
Ben benieuwd hoe het afloopt. Gelukkig zelf geen klant daar.
Welke maatregelen moet je nu dan nemen omdat een puisterig hackertje je adres en telefoonnummer heeft weten te bemachtigen?quote:
Maar dit is een grove schande, eerst beweert men dat er niets gestolen is, en nu gooit men de hele boel plat, wanneer daadwerkelijk blijkt dat de boel compromised is, betekend dit veruit het grootste beveiligingsincident uit de nederlandse geschiedenis, dit gaat veel verder dan SSL certificaten affaire van diginotar. Als er morgen geen helderheid is, dan overweeg ik als KPN klant juridische stappen te gaan ondernemen, niet alleen bestaat de kans dat mijn account gehacked is, maar ook dat mijn adres gegevens op straat liggen, ik zal dus op veel vlakken maatregelen moeten nemen om veiligheid van mijn zaken af te schermen.
Het is meer dan je adres en telefoonnummer. En nu kan je wel heerlijk denigrerend lopen doen over die hacker(s) maar dat neemt niet weg dat KPN heel hard aan het falen is hier.quote:
[..]
Welke maatregelen moet je nu dan nemen omdat een puisterig hackertje je adres en telefoonnummer heeft weten te bemachtigen?
Welja, vergeet het wachtwoord even voor het gemak.quote:
[..]
Welke maatregelen moet je nu dan nemen omdat een puisterig hackertje je adres en telefoonnummer heeft weten te bemachtigen?
Dat we nou allemaal jouw wachtwoord mogen weten oké...
Ontken ik dat dan?quote:
[..]
Het is meer dan je adres en telefoonnummer. En nu kan je wel heerlijk denigrerend lopen doen over die hacker(s) maar dat neemt niet weg dat KPN heel hard aan het falen is hier.
Ik negeer het wachtwoord niet, ik ga alleen in op iets wat me niet duidelijk is in zijn betoog. Waarom leidt de openbaarheid van zijn adresgegevens ook tot veiligheidsmaatregelen?quote:
[..]
Welja, vergeet het wachtwoord even voor het gemak.
Dat we nou allemaal jouw wachtwoord mogen weten oké...
Als men mijn telefoonnummer, bankgegevens, adresgegevens heeft is dat bij veel instanties voldoende om fraude te plegen, daarnaast is het niet ondenkbaar dat men ook toegang heeft gehad tot andere systemen, bijvoorbeeld nummers die ik gebeld heb.quote:
[..]
Welke maatregelen moet je nu dan nemen omdat een puisterig hackertje je adres en telefoonnummer heeft weten te bemachtigen?
Denk bijvoorbeeld de mogelijkheid om SMS verkeer uit te lezen (Tan codes!!!!).
Maar ergste vind ik dit nog:
Kortom, men was al 2 weken op de hoogte van deze security breach, elk fatsoenlijk bedrijf zou bij twijfel direct overgaan tot afsluiting van hun systeem. KPN hoopte echter dat het mee zou vallen, en sloot hun systemen pas af op moment dat de hacker liet zien wel degelijk over accounts beschikte.quote:Dat was ook het moment om Code Rood af te roepen over het bedrijf. Dit betekent dat er een acuut probleem verholpen moet worden. Een team van zo'n honderd medewerkers heeft in de periode 27 januari tot en met 3 februari 24 uur per dag gewerkt. Een belangrijke taak naast het onderzoek was het stapsgewijs stilletjes patchen van de omgeving zonder dat de dagelijkse operatie werd verstoord. Ook werd toen het strafrechtelijk onderzoek gestart.
In eerdere systemen liet men weten expliciet te weten dat dit niet het geval was, zie ook in mijn reactie eerder in dit topic, dat dit in vrijwel alle gevallen nauwelijks uit te sluiten valt.
Dan heb je een punt, excuses.quote:
[..]
Ik negeer het wachtwoord niet, ik ga alleen in op iets wat me niet duidelijk is in zijn betoog. Waarom leidt de openbaarheid van zijn adresgegevens ook tot veiligheidsmaatregelen?
http://www.nu.nl/internet(...)beterschap-hack.html
Waarom moet er altijd eerst iets ernstigs gebeuren voordat men (management ongetwijfeld) echt actie gaat ondernemen?quote:Bronnen binnen KPN melden aan NU.nl dat de onderneming al in december zou zijn gewaarschuwd voor problemen met het type servers dat is gehackt.
Uit een onderzoek van een beveiligingsbedrijf was gebleken dat er zwakheden in servers zaten die gebruikmaakten van dezelfde versie van hetzelfde besturingssysteem als draaide op de nu gekraakte systemen. Die vaststelling leidde binnen KPN echter niet tot directe actie.
De onderneming zegt die problemen te onderkennen en bezig te zijn de die aan te pakken. "Veiligheid wordt een topprioriteit. We zijn er nu zeer bewust mee bezig, en de onderste steen zal echt boven komen", belooft een zegsvrouw. Ze benadrukt dat KPN serieus gaat investeren in het opkrikken van de beveiliging. "De notie dat we ons moeten wapenen is echt wel binnengekomen."
quote:
Beetje flauwekul verklaring, ik ben zelf redelijk vaak bij security zaken betrokken, en wanneer je echt gehacked bent is het vrijwel niet te achterhalen wat er dan wel gestolen is.
Dat had het al jaren moeten zijn..... beetje erg veel mosterd na de maaltijd. Wat een nalatigheid zeg... In het verleden ben ik wel eens klant van ze geweest maar ze zullen mij nooit meer terug zien.quote:De onderneming zegt die problemen te onderkennen en bezig te zijn de die aan te pakken. "Veiligheid wordt een topprioriteit. We zijn er nu zeer bewust mee bezig, en de onderste steen zal echt boven komen", belooft een zegsvrouw. Ze benadrukt dat KPN serieus gaat investeren in het opkrikken van de beveiliging. "De notie dat we ons moeten wapenen is echt wel binnengekomen."
Hier word gesuggereerd dat er kwaadwillende software op hun systemen is geinstalleerd, dat is nog erger dan ik al dacht, het artikel op webwereld suggereerde in eerste instantie dat het een whitehat was, maar een whitehat zou nooit rootkits of trojans op een systeem installeren.
Mijn eerste idee is dat men waarschijnlijk KPN zal chanteren met het idee om alles te lekken.
Tja. Als je een mobiel abo afsluit in de winkel of een auto huurt bij Hertz moet je ook een kopie van je ID geven aan een kerel die er misschien net 1 dag werkt. De postbode die bij jou de post bezorgt kan ook brieven achterover drukken. Allemaal grote risico's maar ik hoor er niet vaak over dat hier grote problemen door zijn.quote:
[..]
Als men mijn telefoonnummer, bankgegevens, adresgegevens heeft is dat bij veel instanties voldoende om fraude te plegen, daarnaast is het niet ondenkbaar dat men ook toegang heeft gehad tot andere systemen, bijvoorbeeld nummers die ik gebeld heb.
Om dan nu moord en brand te schreeuwen en juridische stappen te opperen omdat je 'op veel vlakken maatregelen moet nemen om veiligheid van mijn zaken af te schermen.' gaat wat ver. Als je zaken echt zo belangrijk zijn dan doe je alles encrypted en zou deze hack niets uit mogen maken.
GSM verkeer is per definitie af te luisteren door criminelen. Tan codes zijn trouwens beperkt geldig, je eigen keus om via sms te ontvangen en tevens alleen te gebruiken icm username & password van je internetbankieren.quote:Denk bijvoorbeeld de mogelijkheid om SMS verkeer uit te lezen (Tan codes!!!!).
Dat is inderdaad niet zo netjes, dat ben ik met je eens. Dit is de verklaring daarover:quote:Maar ergste vind ik dit nog:
[..]
Kortom, men was al 2 weken op de hoogte van deze security breach, elk fatsoenlijk bedrijf zou bij twijfel direct overgaan tot afsluiting van hun systeem. KPN hoopte echter dat het mee zou vallen, en sloot hun systemen pas af op moment dat de hacker liet zien wel degelijk over accounts beschikte.
http://www.kpn.com/corporate/Digitale-inbraak.htmquote:Informatiemoment
Na overleg met onder meer het OM en het NCSC besloten we op 27 januari om u niet actief over de digitale inbraak te informeren, zolang dit mogelijk was. Dit was een weloverwogen besluit, want we wilden:
1. onze dienstverlening veiligstellen en onnodige onrust in de samenleving voorkomen;
2. voorkomen dat de hacker(s), na alarmering door de melding, schade zou(den) aanrichten;
3. de opsporing van de hacker(s) niet verstoren.
Na zorgvuldige afweging en overleg met de autoriteiten besloten we daarom tot een daadkrachtige aanpak in stilte.
En dan aanvullende vraag: waarom moet er altijd eerst wat uitlekken voordat men echt actie gaat ondernemen?quote:
KPN belooft beterschap na hack
http://www.nu.nl/internet(...)beterschap-hack.html
[..]
Waarom moet er altijd eerst iets ernstigs gebeuren voordat men (management ongetwijfeld) echt actie gaat ondernemen?
Waarom hebben de klanten niet een bericht gehad dat er ongewenste personen in de servers zijn binnengedrongen en er mogelijk (als ze dat niet zeker wisten) wachtwoorden zijn buitgemaakt?
Voor zover ik weet zijn ze eind januari al gehackt, wat zou betekenen dat de hackers al 2 weken de tijd hebben gehad om leuke dingen te doen met alle wachtwoorden.
Volgens de KPN website is dat niet gedaan om:
1. onze dienstverlening veiligstellen en onnodige onrust in de samenleving voorkomen;
2. voorkomen dat de hacker(s), na alarmering door de melding, schade zou(den) aanrichten;
3. de opsporing van de hacker(s) niet verstoren.
Maar het belang van de klanten gaat toch boven de maatschappelijke rust (wat een kulargument ook)? En ze kunnen bij een doofpotter toch ook niet voorkomen dat de hacker(s) schade zou(den) aanrichten? En opsporing van de hackers verstoren... alsof je die niet meer kunt vangen zodra iedereen een ander wachtwoord heeft.
De hackers zouden zelf ook wel dondersgoed doorhebben dat ze ontdekt zijn, want een paar dagen later werkte hun hack niet meer als ik KPN mag geloven (
), dus dat kan ook geen argument zijn.; wat deels hierboven ook gezegd is dus
Leuke voorbeelden geef je maar die zijn bij lange niet zo groot als het lek bij KPN. KPN notabene een security (onder andere) bedrijf wat anderen advies geeft....quote:
[..]
Tja. Als je een mobiel abo afsluit in de winkel of een auto huurt bij Hertz moet je ook een kopie van je ID geven aan een kerel die er misschien net 1 dag werkt. De postbode die bij jou de post bezorgt kan ook brieven achterover drukken. Allemaal grote risico's maar ik hoor er niet vaak over dat hier grote problemen door zijn.
Je hebt denk ik geen flauw idee van security, we hebben het hier over het grootste telecom bedrijf van Nederland, het valt niet uit te sluiten dat allerlei andere zaken van hen ook compromised zijn, zeker als ik zie hoe hun huidige situatie is, waarin het kennelijk mogelijk is om databases vrij eenvoudig uit te lezen. Natuurlijk zijn mijn belangrijke zaken encrypted, maar juist van mijn provider mag ik verwachten dat men zeer zorgvuldig met mijn zaken omgaat, mogelijk is hun interne netwerk ook compromised, ik wil gewoon van KPN weten in welke maten ze kunnen garanderen dat bepaalde zaken dit niet zijn, ik betaal ze dik voor hun diensten, kortom laten HUN maar vertellen hoe het er echt voor staat.quote:
Tja. Als je een mobiel abo afsluit in de winkel of een auto huurt bij Hertz moet je ook een kopie van je ID geven aan een kerel die er misschien net 1 dag werkt. De postbode die bij jou de post bezorgt kan ook brieven achterover drukken. Allemaal grote risico's maar ik hoor er niet vaak over dat hier grote problemen door zijn.
Om dan nu moord en brand te schreeuwen en juridische stappen te opperen omdat je 'op veel vlakken maatregelen moet nemen om veiligheid van mijn zaken af te schermen.' gaat wat ver. Als je zaken echt zo belangrijk zijn dan doe je alles encrypted en zou deze hack niets uit mogen maken.
Voor een particulier persoon is het effect hetzelfde. Een snottebel achter een balie kan er met je gegevens vandoor gaan (incl. kopie ID) en een puistejong uit de hackersscene heeft nu dezelfde gegevens.quote:
[..]
Leuke voorbeelden geef je maar die zijn bij lange niet zo groot als het lek bij KPN. KPN notabene een security (onder andere) bedrijf wat anderen advies geeft....
Dit dus, indirect is het gevaar nog veel groter.quote:
[..]
Leuke voorbeelden geef je maar die zijn bij lange niet zo groot als het lek bij KPN. KPN notabene een security (onder andere) bedrijf wat anderen advies geeft....
En het mooie is, dat de BAPI certificaten, die eerst aangevraagd moesten vragen bij Diginotar, nu alleen nog via KPN aangevraagd kunnen wordenquote:
Maar dit is een grove schande, eerst beweert men dat er niets gestolen is, en nu gooit men de hele boel plat, wanneer daadwerkelijk blijkt dat de boel compromised is, betekend dit veruit het grootste beveiligingsincident uit de nederlandse geschiedenis, dit gaat veel verder dan SSL certificaten affaire van diginotar. Als er morgen geen helderheid is, dan overweeg ik als KPN klant juridische stappen te gaan ondernemen, niet alleen bestaat de kans dat mijn account gehacked is, maar ook dat mijn adres gegevens op straat liggen, ik zal dus op veel vlakken maatregelen moeten nemen om veiligheid van mijn zaken af te schermen.
.Het probleem is dat KPN dus ALLES heeft, niet alleen een kopie van mijn ID kaart, niet alleen mijn adres, maar ook in geval van veel mensen een wachtwoord wat ze op meerdere plekken gebruiken.quote:
[..]
Voor een particulier persoon is het effect hetzelfde. Een snottebel achter een balie kan er met je gegevens vandoor gaan (incl. kopie ID) en een puistejong uit de hackersscene heeft nu dezelfde gegevens.
Daarnaast heb IK niet het probleem veroorzaakt, maar KPN, door laksheid en domheid, als ik door mijn domheid mijn aansluiting kapot maak, dan komt KPN dat ook niet gratis repareren, en in dit geval zal ik mijn uren ook door berekenen aan KPN.
Tjah, ook heel leuk, veel bedrijven en organisaties gebruiken KPN pop mail voor hun communicatie, las net dat onze voetbalvereniging KPN mail gebruikt, gelukkig is nu al het voetbal afgelast, anders is het een regelmatige communicatie ramp.quote:
[..]
En het mooie is, dat de BAPI certificaten, die eerst aangevraagd moesten vragen bij Diginotar, nu alleen nog via KPN aangevraagd kunnen worden
Mensen die een wachtwoord op meerdere plekken gebruiken zijn zelf niet al te slim bezig, dat wordt al sinds 1980 afgeraden zo ongeveer. Ik begrijp dat het vervelend is voor iemand als KPN klant, maar je kan KPN moeilijk aanklagen omdat die persoon op tig sites hetzelfde wachtwoord gebruikt.quote:
[..]
Het probleem is dat KPN dus ALLES heeft, niet alleen een kopie van mijn ID kaart, niet alleen mijn adres, maar ook in geval van veel mensen een wachtwoord wat ze op meerdere plekken gebruiken.
Goede les voor iedereen.
Het gaat om de schaal cq omvang van het lek. Identiteitsdiefstal komt steeds vaker voor en is nog altijd onderbelicht in Nederland. Dan kan jij wel praten over het effect voor een particulier persoon maar dat is helemaal niet zo duidelijk als jij denkt.quote:
[..]
Voor een particulier persoon is het effect hetzelfde. Een snottebel achter een balie kan er met je gegevens vandoor gaan (incl. kopie ID) en een puistejong uit de hackersscene heeft nu dezelfde gegevens.
Wat een dom gelul, nu is het de fout van de gebruikers? Ik neem een betaalde dienst af bij een bedrijf wat nota bene DE security authoriteit in Nederland is, ze wisten al bijna 3 weken terug dat hun beveiliging doorbroken was, ipv gelijk de boel af te sluiten, onderzoek te doen, en dan eventueel weer open te stellen, laat men de boel lekker 3 weken open staan, en pas op moment dat het in de pers lekt dat de passwords ECHT op straat ligt gooit men de boel dicht.quote:
[..]
Mensen die een wachtwoord op meerdere plekken gebruiken zijn zelf niet al te slim bezig, dat wordt al sinds 1980 afgeraden zo ongeveer. Ik begrijp dat het vervelend is voor iemand als KPN klant, maar je kan KPN moeilijk aanklagen omdat die persoon op tig sites hetzelfde wachtwoord gebruikt.
Goede les voor iedereen.
Blame the victimquote:
[..]
Mensen die een wachtwoord op meerdere plekken gebruiken zijn zelf niet al te slim bezig, dat wordt al sinds 1980 afgeraden zo ongeveer. Ik begrijp dat het vervelend is voor iemand als KPN klant, maar je kan KPN moeilijk aanklagen omdat die persoon op tig sites hetzelfde wachtwoord gebruikt.
Goede les voor iedereen.
Als je iets niet begrijpt is het niet meteen dom gelul.quote:
[..]
Wat een dom gelul, nu is het de fout van de gebruikers? Ik neem een betaalde dienst af bij een bedrijf wat nota bene DE security authoriteit in Nederland is, ze wisten al bijna 3 weken terug dat hun beveiliging doorbroken was, ipv gelijk de boel af te sluiten, onderzoek te doen, en dan eventueel weer open te stellen, laat men de boel lekker 3 weken open staan, en pas op moment dat het in de pers lekt dat de passwords ECHT op straat ligt gooit men de boel dicht.
Je schrijft zelf
Ik geef aan dat dit natuurlijk oerdom is, al vele malen aan de orde is gesteld en ook de eigen verantwoordelijkheid is van de gebruiker. Dat doets niet af aan het feit dat de hack bij KPN nooit had mogen gebeuren.quote:maar ook in geval van veel mensen een wachtwoord wat ze op meerdere plekken gebruiken.
Men weet ook al sinds 1998 dat je passwords nooit en nooit plain in de database mag opslaan.quote:
quote:
[..]
Men weet ook al sinds 1998 dat je passwords nooit en nooit plain in de database mag opslaan.
http://www.kpn-cert.nl/quote:KPN-CERT ondersteunt de klant pro-actief om de veiligheid van niet alleen het eigen bedrijfsnetwerk te waarborgen, maar ook de netwerken waarover KPN de dienstverlening aan haar klanten biedt. Onderdeel van het verzorgingsgebied zijn de consumenten ISP's Planet Internet, HetNet en XS4ALL. KPN-CERT verzamelt en analyseert bovendien incidenten en geeft advies om deze in de toekomst te voorkomen. Het gaat hier om incidenten die door klanten uit het verzorgingsgebied reactief zijn aangemeld, alsmede over klanten uit het verzorgingsgebied.
Ik ben ruim 10 jaar met IT security bekend, ik praat niet zozeer vanuit me zelf maar vanuit de gemiddelde gebruiker, niet iedereen is bekend met het belang van het gebruik van verschillende passwords.quote:
[..]
Als je iets niet begrijpt is het niet meteen dom gelul.
Je schrijft zelf
[..]
Ik geef aan dat dit natuurlijk oerdom is, al vele malen aan de orde is gesteld en ook de eigen verantwoordelijkheid is van de gebruiker. Dat doets niet af aan het feit dat de hack bij KPN nooit had mogen gebeuren.
Omdat het kan..quote:
[..]
Men weet ook al sinds 1998 dat je passwords nooit en nooit plain in de database mag opslaan.
Mail Telegraaf met details en het staat over een uur met koeienletters op de FPquote:
Net trouwens even gecheckt, een security probleem bij een andere grote telecom, wat ik notabene op 18 augustus heb gemeld staat nog steeds open, het zal ze gewoon aan hun reet roesten, heb probleem zelfs via invloedrijke mensen gemeld
Probleem is dat ik ook werk voor dit bedrijf verricht en me baas not ammused zal zijnquote:
[..]
Mail Telegraaf met details en het staat over een uur met koeienletters op de FP
Mail het anoniem naar Webwereld?quote:
[..]
Probleem is dat ik ook werk voor dit bedrijf verricht en me baas not ammused zal zijn
Of is het probleem echt herleidbaar tot jou en zouden buitenstaanders het lek nooit ontdekt hebben?
Ja ik heb al een uitgebreide analyse via mijn chef gedaan, ga hem van de week maar weer eens aanspreken.quote:
[..]
Mail het anoniem naar Webwereld?
Of is het probleem echt herleidbaar tot jou en zouden buitenstaanders het lek nooit ontdekt hebben?
http://www.kpn.com/corporate/Digitale-inbraak.htm
na deze :
http://pastebin.com/2vYRVMtq
Niet sterk van deze ondderneming : 27 20 jan inbraak gezien ; 8 feb publiekelijk gemeld, deze update is van vandaag 10 feb 2012 19:00 ;
En dan dit : "onze excuses voor het ongemak" ; wat een SUKKELS
Conclusie. Lijkt me dat :
(1) de verantwoordelijke bestuurder in de RvB per direct wordt weggestuurd, met inhouding van zijn salaris, wegens het faciliteren van schending van privacy ;
[2] KPN aan ieder, wiens privacy nu is beschadigd, een vergoeding van 5,000 euro moet doen toekomen ; en dat claimen bij de verantwoordelijk bestuurder (1) ;
Vraag :
(3) kan het OM tot vervolging overgaan ?
[ Bericht 8% gewijzigd door quirigua op 10-02-2012 22:56:29 ]
Je kan bij het OM een aanvraag tot vervolging indienen.quote:
update 19:00 hrs :
http://www.kpn.com/corporate/Digitale-inbraak.htm
http://pastebin.com/2vYRVMtq
Niet sterk van deze ondderneming : 27 jan inbraak gezien ; 8 feb publiekelijk gemeld, deze update is van vandaag 10 feb 2012 19:00 ;
En dan dit : "onze excuses voor het ongemak" ; wat een SUKKELS
Conclusie. Lijkt me dat :
(1) de verantwoordelijke bestuurder in de RvB per direct wordt weggestuurd, met inhouding van zijn salaris, wegens het faciliteren van schending van privacy ;
[2] KPN aan ieder, wiens privacy nu is beschadigd, een vergoeding van 5,000 euro moet doen toekomen ; en dat claimen bij de verantwoordelijk bestuurder (1) ;
Vraag :
(3) kan het OM tot vervolging overgaan ?
Zijn hier juristen onder de FOKkers ?quote:
[..]
Je kan bij het OM een aanvraag tot vervolging indienen.
(cit.)
KPN haalt webmail uit de lucht na hack
(Novum) - KPN heeft uit voorzorg zijn webmail uit de lucht gehaald, omdat vermoedelijk klantgegevens online zijn gezet. Dat meldt het bedrijf vrijdag. Eerder deze week werd bekend dat KPN was gehackt.
KPN haalt webmail uit de lucht na hack
Het bedrijf beweerde aanvankelijk dat de hackers niet aan de haal waren gegaan met informatie. KPN gaf later toe dat toch niet zeker te weten. Een van de hackers had tegen ict-nieuwssite Webwereld gezegd dat wel degelijk gegevens waren opgehaald, zestien gigabyte in totaal.
Op de website pastebin.com werd vrijdag een lijst gepubliceerd met ruim vijfhonderd namen, adressen, woonplaatsen, telefoonnummers, mailadressen en wachtwoorden van klanten van KPN. Volgens Webwereld stelt na onderzoek dat de gegevens authentiek zijn. Of ze afkomstig zijn van de hack in januari of dat ze zijn buitgemaakt bij een andere digitale inbraak, is nog onduidelijk.
Donderdag werd al bekend dat het hacken van KPN grote gevolgen had kunnen hebben voor de veiligheid van klanten. In het ergste geval hadden mensen geen 112 kunnen bellen. Een van de hackers zei dat de hack simpel voorkomen had kunnen worden als systemen beter waren onderhouden.
KPN ontdekte de hack, die op dat moment vermoedelijk al een paar dagen oud was, op 20 januari. De maatregelen die het bedrijf daarop nam werkten niet meteen: een week later had de hacker nog steeds toegang tot de server. Op dat moment zouden de autoriteiten zijn ingeschakeld. Het lek is inmiddels gedicht.
Er lopen er hier paar rond.quote:
[..]
Zijn hier juristen onder de FOKkers ?
Best onhandig voor de klanten, maar goed, da's wel een zekere manier om fraude wat meer te minimaliseren. Tevens moet je zelf nooit al je email maar bij 1 account houden.
Of kent KPN een 'stel je geheime vraag' optie om wachtwoorden opnieuw op te vragen?
En dat is denk je encrypted opgeslagen als het er al is?quote:
Kwestie van alle passwords resetten en elke user het nieuwe password per brief thuis sturen.
Best onhandig voor de klanten, maar goed, da's wel een zekere manier om fraude wat meer te minimaliseren. Tevens moet je zelf nooit al je email maar bij 1 account houden.
Of kent KPN een 'stel je geheime vraag' optie om wachtwoorden opnieuw op te vragen?
owja, niet aan gedacht. Misschien zit die vraag ook in diezelfde dump. Lijkt logisch.quote:
[..]
En dat is denk je encrypted opgeslagen als het er al is?
Noujagoed, heeft KPN geen noodscenario draaiboek in de kast liggen voor zulke gevallen? Gelijk een goede test of het bedrijf hier een beetje chique mee om kan gaan. Heb ze al niet al te hoog zitten na wat vervelende akkevietjes met hun - maar we gaan het meemaken.
Antwoord is nee, wij beheren klanten met nog meer data, maar als zoiets zou voordoen, dan zouden we per direct de stekker er uit trekken en dan onderzoek doen, nu hebben ze eerst 2 weken gewacht, en pas toen de password lekte, konden ze niet anders, ik durf gerust te stellen dat wanneer dat niet gebeurd was, die server gewoon nog aan stond.quote:
[..]
owja, niet aan gedacht. Misschien zit die vraag ook in diezelfde dump. Lijkt logisch.
Noujagoed, heeft KPN geen noodscenario draaiboek in de kast liggen voor zulke gevallen? Gelijk een goede test of het bedrijf hier een beetje chique mee om kan gaan. Heb ze al niet al te hoog zitten na wat vervelende akkevietjes met hun - maar we gaan het meemaken.
quote:Klanten KPN kunnen weer email verzenden vanaf thuiscomputer
Update vrijdag 10 februari 22:30 uur
KPN heeft vandaag besloten om uit voorzorg alle email (zogenoemde pop) en webmail van KPN uit de lucht te nemen. Dit betreft 2 miljoen e-mailaansluitingen van KPN, waaronder kpnmail; hetnet en planet. Deze e-maildiensten waren hierdoor tijdelijk niet toegankelijk.
Wij hebben deze voorzorgsmaatregel genomen omdat een lijst met 539 klantnamen met adres, woonplaats, telefoonnummer, gebruikersnamen en wachtwoorden is gepubliceerd op het internet. Wij kunnen niet uitsluiten dat de gegevens van nog meer klanten in handen van derden zijn gevallen. Omdat wij het zekere voor het onzekere wilden nemen, hebben wij de emaildienst van onze klanten tijdelijk uit de lucht genomen.
Op dit moment hebben wij alle e-mailaccounts geactiveerd voor uitgaande mail vanaf de thuiscomputer. Dit betekent dat klanten wel mail kunnen verzenden, maar nog niet kunnen ontvangen.
Wij verwachten dat de volledige functionaliteit van de e-maildiensten spoedig is hersteld.
Om alle risico op misbruik te vermijden, raden wij klanten aan om hun huidige password niet meer te gebruiken – dus ook niet voor andere internetdiensten zoals bijv. Facebook, Marktplaats en internetbankieren.
Wij zijn ons bewust van de overlast die dit voor onze klanten met zich meebrengt – en betreuren dit zeer.
Nee alleen de SMTP server.quote:
Ah, de boel staat weer half aan:
[..]
Dat heeft dan ook even geduurt zeg.quote:
Hé, ze hebben ze het zelfs op hun eigen FP gezet. Niet 2 regelig weggemoffeld onder een News itempje, maar direct een duidelijke tekst op de homepage. Met uitleg. Dat valt me dan weer mee.
Als particulier begin je natuurlijk niets tegen zo'n groot log bedrijf, maar als een grote zakelijke klant zou je misschien nog wat kunnen, qua schadevergoeding of rechtszaak. Maar daar moet je wel zin in hebben, zo'n juridisch traject. Beter is het om je energie te sparen en gewoon over te stappen naar een ander bedrijf die wat professioneler te werk gaat. Weg bij dat KPN.
Maarja, dan krijg je te maken met je contract opzeggen bij KPN. Ik zal je zeggen: dat gaat niet altijd foutloos....
Erg vervelend inderdaad. Het is gewoon een opeenstapeling van fouten door KPN, op alle vlakken. Enorm amateuristisch.quote:
Je zult maar net belangrijke mail verwachten
Komen die mailtjes gewoon aan zodat ik deze later , als ze de boel weer op orde hebben, nog kan lezen? Of krijg de verzender een melding dat de mail niet afgeleverd kan worden?
Of krijgt de verzender een bericht dat de door hem verzonde
Edit; als ik vanaf mijn yahoo mail een bericht stuur naar mijn planet account krijg ik geen foutmelding.
[ Bericht 69% gewijzigd door Janena op 11-02-2012 09:08:45 ]
Het zal wel gequeued worden. Je kunt je mailbox niet benaderen, maar de mail zal wel aankomen. Het is puur de toegang tot de mail.quote:
[..]
Erg vervelend inderdaad. Het is gewoon een opeenstapeling van fouten door KPN, op alle vlakken. Enorm amateuristisch.
Komen die mailtjes gewoon aan zodat ik deze later , als ze de boel weer op orde hebben, nog kan lezen? Of krijg de verzender een melding dat de mail niet afgeleverd kan worden?
Of krijgt de verzender een bericht dat de door hem verzonde
Ik wacht eerst wel op een mailtje van de KPN wanneer het kan.
Hier doet het het nog niet...quote:KPN: e-mail om 9 uur weer bereikbaar
Uitgebracht op: 11 Februari 2012 - 07:55:24
Categorie: Economie Bron: ANP
AMSTERDAM (ANP) - Klanten met een e-mailaccount van KPN kunnen als het goed is vanaf 9.00 uur weer bij hun digitale post. Dat heeft het bedrijf zaterdagochtend bekendgemaakt.
KPN sloot vrijdagavond alle e-mail tijdelijk af nadat duidelijk was geworden dat hackers de adres- en inloggegevens van honderden klanten openbaar hadden gemaakt. Alle klanten krijgen een mail waarin wordt uitgelegd hoe zij hun wachtwoord kunnen wijzigen. Dat is volgens het bedrijf nodig om weer veilig de e-mail te kunnen gebruiken.
Het duurt ook wat langer dan gepland volgens KPN:quote:
Ik ben toch blij dat ik mijn e-mail al steeds meer via Gmail laat lopen en Planet nog amper gebruik. En meerdere wachtwoorden gebruiken betaalt zich nu ook wel uit, geloof ik. Als het goed is is de webmail nog de enige plek waar ik dat wachtwoord voor gebruik.quote:E-mailaccounts KPN in de loop van de dag weer live.
door simona 13 minuten geleden
Tijdens de laatste veiligheidscontrole vlak voor het live gaan eerder deze ochtend, hebben wij moeten vaststellen dat extra capaciteit die wij hebben geplaatst nog aanvullende controles behoeven. Dit is noodzakelijk om de verwachte hoeveelheid van klanten, die hun wachtwoord willen resetten, optimaal te kunnen verwerken.
Dit betekent dat de email-accounts van KPN in de loop de dag weer live zullen gaan.
Wij begrijpen dat dit niet overeenkomt met onze eerdere aankondiging dat dit om 9.00 uur zou zijn. En dat is natuurlijk erg vervelend voor al onze klanten. Maar wij hebben toch dit besluit genomen om er zeker van te zijn dat klanten eenvoudig, snel en veilig hun password zullen kunnen resetten.
Wij vragen daarvoor uw begrip.
Wanneer de KPN e-mailaccounts live zullen gaan, zullen wij daarvan onze klanten persoonlijk op de hoogte stellen. Vanaf dat moment kunnen klanten ook direct naar kpn.com om hun e-mail te resetten.
Zoals als eerder gemeld, wordt klanten aangeraden aan om hun password ook niet meer te gebruiken voor andere internetdiensten zoals bijv. Facebook en Marktplaats.
http://forum.kpn.com/t5/N(...)weer-live/ba-p/17093
Denk dat dit KPN veel klanten gaat kosten!
Tja, bij andere sites kan het ook gebeuren. Ik gebruik diverse adressen, Planet/Hotmail...quote:
Ik ben toch blij dat ik mijn e-mail al steeds meer via Gmail laat lopen en Planet nog amper gebruik.
Er is maar 1 goede oplossing:
- wachtwoorden resetten
- klanten een nieuw wachtwoord toesturen (per post - liefst spoed)
Waarom?
- wie garandeert dat het de klant is en niet een hacker, die het wachtwoord verandert als de hacker ook bij de mail kan
- een deel van de klanten snapt het niet, laat het zo en kunnen slachtoffer worden
- een deel van de klanten weet het oude wachtwoord niet eens (het werkt omdat het nog goed ingesteld staat) en veranderen het niet
- een deel van de klanten denkt "laat maar, die mail gebruik ik toch nooit" en staat er niet bij stil dat ook hun "mijn KPN" er vaak aan gekoppeld is
- niet iedereen zal het gelijk veranderen, je blijft weken met een risico zitten
Het had mandatory moeten gebeuren; voor de klant veranderen, brief naar klant.
Vergeet ook niet de opa's en oma's die hun kleinzoon het ooit hebben laten instellen en geen idee hebben hoe ze hun wachtwoord in Outlook kunnen veranderen.quote:
Wat een ontzettend slecht plan van de KPN om klanten te mailen met het bericht dat ze hun wachtwoord moeten veranderen.
Er is maar 1 goede oplossing:
- wachtwoorden resetten
- klanten een nieuw wachtwoord toesturen (per post - liefst spoed)
Waarom?
- wie garandeert dat het de klant is en niet een hacker, die het wachtwoord verandert als de hacker ook bij de mail kan
- een deel van de klanten snapt het niet, laat het zo en kunnen slachtoffer worden
- een deel van de klanten weet het oude wachtwoord niet eens (het werkt omdat het nog goed ingesteld staat) en veranderen het niet
- een deel van de klanten denkt "laat maar, die mail gebruik ik toch nooit" en staat er niet bij stil dat ook hun "mijn KPN" er vaak aan gekoppeld is
- niet iedereen zal het gelijk veranderen, je blijft weken met een risico zitten
Het had mandatory moeten gebeuren; voor de klant veranderen, brief naar klant.
Een paar honderd klanten misschien. Op die 2 miljoen merken ze dat niet.quote:
Toch voor de zekerheid alle wachtwoorden aangepast, al gebruikte ik die van mijn kpn-mail alleen daarvoor.
Denk dat dit KPN veel klanten gaat kosten!
En als mensen weer kunnen mailen zijn ze allang weer tevreden en vergeten het.
[ Bericht 0% gewijzigd door gebrokenglas op 11-02-2012 13:02:00 ]
Was ik niet vergetenquote:
[..]
Vergeet ook niet de opa's en oma's die hun kleinzoon het ooit hebben laten instellen en geen idee hebben hoe ze hun wachtwoord in Outlook kunnen veranderen.
quote:- een deel van de klanten snapt het niet, laat het zo en kunnen slachtoffer worden
Een deel van de klanten is zo voorzichtig met spam geworden dat ze een waarschuwing van de KPN om hun wachtwoord te veranderen zullen aanzien voor een phishing-bericht en het gewoon wegtiefen.quote:
[..]
Een paar honderd klanten misschien. Op die 2 miljoen merken ze dat niet.
En al mensen weer kunnen mailen zijn ze allang weer tevreden en vergeten het.
Jeetjequote:
De KPN komt er weer goedkoop vanaf. Mijn zwagertje stond in de gelekte lijst en hij is vanochtend gebelt door de KPN met de vraag of hij graag 100 euro retour op z'n rekening OF een dinerbon van 100 euro wilde hebben.
Lekker overzichtelijk.quote:
[..]
ik zou zeggen; ga het na.
http://pastebin.com/2vYRVMtq
Zwijggeldquote:
De KPN komt er weer goedkoop vanaf. Mijn zwagertje stond in de gelekte lijst en hij is vanochtend gebelt door de KPN met de vraag of hij graag 100 euro retour op z'n rekening OF een dinerbon van 100 euro wilde hebben.
Yeah rightquote:
De KPN komt er weer goedkoop vanaf. Mijn zwagertje stond in de gelekte lijst en hij is vanochtend gebelt door de KPN met de vraag of hij graag 100 euro retour op z'n rekening OF een dinerbon van 100 euro wilde hebben.
geloof er geen zak van
Bel hem even op om het te vragen zou ik zeggen. Het is een van de 6 adressen in Roosendaal.quote:Op zaterdag 11 februari 2012 12:49 schreef RedFever007 het volgende:
[..]
Yeah right
geloof er geen zak van
Misschien krijg je nu ook wel een dinerbon twv 100 euro.quote:
Da's toch leuk, krijg je ook geld.quote:
100 euro, dat is 2 maanden abonnementsgeld. pffft.
Stelletje mongolen, hoe durven ze
Da's een andere afdeling, hèquote:
Wow, krijg ik vandaag ook nog een folder binnen dat ik glasvezel moet kopen van KPN.
Stelletje mongolen, hoe durven ze
Afdeling marketing, of werving.Staat los van de beheerdersclub.
2 maanden abo? Kijk daar gaat het al fout, da's toch veel te duur.quote:
Nou zeg. Wat heb je nu aan geld? Ik zou liever de garantie willen hebben dat ze nu echt eens professioneel bezig gaan en hun klanten serieus nemen, ipv alleen maar de aandeelhouders.
100 euro, dat is 2 maanden abonnementsgeld. pffft.
Wie betaalt dat nou. De klanten van KPN. KPN heeft natuurlijk wel een naam, echt een telecom bedrijf. Bij KPN zit je goed, in principe. Op dit incident na dan eventjes.quote:
[..]
2 maanden abo? Kijk daar gaat het al fout, da's toch veel te duur.
M'n zwager dus, en ik ook trouwens. Glasvezel pakketje met telefoon, televisie en internet.quote:
[..]
2 maanden abo? Kijk daar gaat het al fout, da's toch veel te duur.
Persoonlijk? Gaat het callcenter 2 miljoen mensen bellen? Of per email? Waar mensen immers niet bij kunnen?quote:Wanneer de KPN e-mailaccounts live zullen gaan, zullen wij daarvan onze klanten persoonlijk op de hoogte stellen. Vanaf dat moment kunnen klanten ook direct naar kpn.com om hun e-mail te resetten.
Helaas pindakaas,dit is de enige goede manier. Laat ze maar een groot team inzetten om het te verbeteren. Dit is niet zomaar een hack door een onbekend lek, maar door pure onbekwaamheid en laksheid.quote:
[..]
Vergeet ook niet de opa's en oma's die hun kleinzoon het ooit hebben laten instellen en geen idee hebben hoe ze hun wachtwoord in Outlook kunnen veranderen.
Klopt, alleen de toegang tot de accounts is geblocked.quote:
[..]
Het zal wel gequeued worden. Je kunt je mailbox niet benaderen, maar de mail zal wel aankomen. Het is puur de toegang tot de mail.
Nee de enige manier is om alle mensen dwingen hun password te wijzigen, vervelend en omslachtig maar de enige juiste methode in dit geval.quote:
[..]
Persoonlijk? Gaat het callcenter 2 miljoen mensen bellen? Of per email? Waar mensen immers niet bij kunnen?
Overigens je moet er niet aan denken wanneer de volledige database uitlekt, een vriendin van mij zit bijvoorbeeld ondergedoken voor wat mensen op een geheim adres, haar leven is in direct gevaar wanneer haar adres uitlekt.
Eens. Het is de enige optie.quote:
[..]
Nee de enige manier is om alle mensen dwingen hun password te wijzigen, vervelend en omslachtig maar de enige juiste methode in dit geval.
Als KPN iets minder doet dan alles resetten, zijn ze hun geloofwaardigheid compleet kwijt.
Danny wilde het aanvankelijk ook skippen toen Fok was gehackt; gelukkig veranderde hij van mening. Ik snap de gedachtengang wel; het is een support en PR-nachtmerrie, zeker op deze schaal (heb na een hack zelf ooit eens 50.000 passwords gereset, daarvan hadden een paar duizend een oud emailadres dus ontvingen het nieuwe wachtwoord niet, het was maandenlang gezeik en muiterij). Maar toch moet je het doen.
Klopt, zelfs onder normale omstandigheden zouden dit soort zaken kunnen gebeuren, heb het gelukkig nog nooit mee hoeven maken dat ik tot een full reset heb moet over gaan, maar ik vind het meer fair om in dit geval open kaart te spelen.quote:
[..]
Eens. Het is de enige optie.
Als KPN iets minder doet dan alles resetten, zijn ze hun geloofwaardigheid compleet kwijt.
Danny wilde het aanvankelijk ook skippen toen Fok was gehackt; gelukkig veranderde hij van mening. Ik snap de gedachtengang wel; het is een support en PR-nachtmerrie, zeker op deze schaal (heb na een hack zelf ooit eens 50.000 passwords gereset, daarvan hadden een paar duizend een oud emailadres dus ontvingen het nieuwe wachtwoord niet, het was maandenlang gezeik en muiterij). Maar toch moet je het doen.
Ik vind schandalig wat er hier gebeurt is,heb zelf scans meegemaakt, met 500 miljoen schade in geval van een hack op root niveau dus weet waar ik over praat.
Wat een prutsers bij KPN 
ja sorry was even met andere dingen bezigquote:
6,5 uur later is het nog steeds down.
MyAT checken enzulksGa nu weer verder
Binnen een weekje moet alles het weer doen. gr gr
Idd. Des te kwalijker dat KPN de wachtwoorden niet (of heel zwak) gecodeeerd opslaat...quote:
[..]
Ja inderdaad alleen van KPN. Echter heel veel mensen gebruiken dezelfde ww voor verschillende sites
De paste is trouwens offline gehaald.. tenminste op de oorspronkelijke locatie. Hoeveel miljoenen kopieën zijn er nog...
Nouja 't lijkt me nogal een heftige actie. En misschien wil het crisisteam de boel nog niet vrijgeven.quote:
6,5 uur later is het nog steeds down.
update mailusers set password_expired=true;
Dat hadden ze niet moeten claimen dat om 9 uur alles weer zal werken. Faal op faal op faal.quote:
[..]
Nouja 't lijkt me nogal een heftige actie. En misschien wil het crisisteam de boel nog niet vrijgeven.
update mailusers set password_expired=true;
Inderdaad, the damage has been done. Valt me mee trouwens dat het hun gelukt is die dumpfile van die site te halen. Lukt Brein niet.quote:Op zaterdag 11 februari 2012 15:57 schreef MisterSqueaky het volgende:
[..]
Idd. Des te kwalijker dat KPN de wachtwoorden niet (of heel zwak) gecodeeerd opslaat...
De paste is trouwens offline gehaald.. tenminste op de oorspronkelijke locatie. Hoeveel miljoenen kopieën zijn er nog...
Zal het OM ook wel aan meegeholpen hebben.
Bij ons noemen we zoiets 'voortschrijdend inzicht'.quote:
[..]
Dat hadden ze niet moeten claimen dat om 9 uur alles weer zal werken. Faal op faal op faal.
Ik noem het liegenquote:
[..]
Bij ons noemen we zoiets 'voortschrijdend inzicht'.
Er stond een expire op de pastebin-file van 24 uur.quote:
[..]
Valt me mee trouwens dat het hun gelukt is die dumpfile van die site te halen. Lukt Brein niet.
Zal het OM ook wel aan meegeholpen hebben.
Bij mij nog steeds nietquote:
En ik zit op een belangrijke mail te wachten
Op hun site staat wel dat dat nog gaat komen, plus instructie om je wachtwoord te wijzigen. Ik heb nog een verdwaald planet account dat net ook weer begon te werken.quote:
Ook geen excuses-mailtje van kpn ofzo
'gelukkig' heeft het account een ander wachtwoord dan sites waar ik het gebruik
http://www.google.nl/sear(...)=1366&bih=677&ix=sebquote:
Is die lijst nog ergens in te zien? Wil graag controleren of ik er bij sta...
'gelukkig' heeft het account een ander wachtwoord dan sites waar ik het gebruik
edit. ik neem aan dat ik gewoon een google link mag kopieren, als dat niet zo is moet een modje het maar verwijderen.
Ik sta er gelukkig niet tussenquote:
[..]
http://www.google.nl/sear(...)=1366&bih=677&ix=seb
edit. ik neem aan dat ik gewoon een google link mag kopieren, als dat niet zo is moet een modje het maar verwijderen.
Ik zou dat juist jammer hebben gevonden, als je nu op die lijst staat kan je behoorlijke eisen gaan stellen aan KPN. Iets van: Ik wil 10 jaar gratis internet, bellen + tv of anders ga ik zielig doen in de media. Zekers te weten dat je je zin krijgt, ze hebben al genoeg imagoschade geleden de afgelopen dagen, dat willen ze natuurlijk niet erbij hebben.quote:
Kun je daar een link van plaatsen? Ik zit te zoeken maar zie het niet zo snel...quote:
[..]
Op hun site staat wel dat dat nog gaat komen, plus instructie om je wachtwoord te wijzigen. Ik heb nog een verdwaald planet account dat net ook weer begon te werken.
Hmm, ik twijfel nu of ik meteen wijzig of nog even moet wachten...
Ik sta er niet tussen... Moet ik me nou verder nog zorgen maken?quote:
[..]
http://www.google.nl/sear(...)=1366&bih=677&ix=seb
edit. ik neem aan dat ik gewoon een google link mag kopieren, als dat niet zo is moet een modje het maar verwijderen.
Mist mijn belangrijke mailtje waar ik de hele dag op heb gewacht de attachment
Veel minder, de complete db ligt nog wel ergens, dit was slechts een deel daarvan.quote:
[..]
Ik sta er niet tussen... Moet ik me nou verder nog zorgen maken?
Verander iig overal je wachtwoord als je zo naïef bent om hetzelfde wachtwoord op meerdere plaatsen te gebruiken.
quote:Vanwege werkzaamheden aan het administratieve systeem van KPN is het helaas niet mogelijk om op dit moment wijzigingen door te voeren in uw abonnement.
Probeert u het op een later tijdstip nog eens. Onze excuses voor het ongemak.
En ik kan me wel indenken dat er meer professionele ICT-technici bij KPN werkzaam zijn dan bij een bank.
De volgende stap is een dergelijke grootschalige hack en blokkering bij ING of Rabobank en dan breekt de hel los.
Als dit klopt stel ik mijn mening over KPN iets bij. ZIJ waren dan immers niet de sukkels die de wachtwoorden van klanten niet beveiligd opsloegenquote:
http://www.nu.nl/algemeen(...)ns-niet-van-kpn.html
Wel even een strenge blik naar de FOK!ers en hun vrienden die zichzelf terugvonden en niet merkten dat die lijst niet van KPN was... blijkbaar gebruiken jullie op iedere site dezelfde gegevens. Foei
Dat is m dan wel gelukt, KPN krijgt er enorm van langs, zelfs de 2e kamer bemoeit zich ermee.
Mogelijk. Er is nu iig geen bewijs dat dat wel is gebeurd; maar er heeft wel iemand in de KPN systemen zitten neuzen. We weten nu alleen niet wat ze bemachtigd hebben.quote:Op zaterdag 11 februari 2012 19:57 schreef .Neovo. het volgende:
In dat geval had KPN gelijk dat er niks is uitgelekt
Sowieso goed voor de bewustwording van mensen, om niet overal steeds maar hetzelfde wachtwoord te gebruiken.
Is het beschamend als ik er om moet lachen?quote:
Heel verwarrend. Dus iemand dacht interessant te doen, een enorme toestand te creeeren en een andere dump online te zetten, met een verwijzing naar de toevallige hack bij KPN.
Dat is m dan wel gelukt, KPN krijgt er enorm van langs, zelfs de 2e kamer bemoeit zich ermee.
Ben je nou echt zo dom? Er is helemaal geen systeem van KPN gehackt. De lijst komt van babydump, en is gefilterd op KPN klanten om het doen te lijken alsof ze uit het KPN systeem komen. Dat het er zo veel zijn is niet vreemd, gezien KPN een van de grootste providers is.quote:
Wat dan ook, babies of niet : geen twijfel dat een systeem, of systemen, bij KPN zijn gehacked. KPN heeft dat ook toegegeven. En de mail stilte heeft 26 uur geduurd. Plus, dat de onzekerheid over privacy-, bank- en inlog-gegevens (wachtwoorden inbegrepen) voortduurt.
Sommige wachtwoorden uit de lijst kwamen overeen, dit komt omdat mensen simpelweg graag dezelfde wachtwoorden voor verschillende plekken gebruiken. Helemaal de gemiddelde huis tuin en keuken gebruiker denkt al snel dat als hij emailadres wachtwoord in die volgorde ziet staan dat het perse het wachtwoord moet zijn dat bij het emailadres hoort.
Er is dus geen enkel bewijs dat er in de KPN servers ingebroken is. Dit hielden ze ook aan het begin vol, alleen was er logische twijfel toen de lijst was gepubliceerd. Hierdoor zijn uit voorzorg de systemen platgelegd.
[ Bericht 0% gewijzigd door bblaaa8 op 11-02-2012 22:02:39 ]
Er is wel degelijk op hun servers ingebroken:quote:
[..]
Ben je nou echt zo dom? Er is helemaal geen systeem van KPN gehackt. De lijst komt van babydump, en is gefilterd op KPN klanten om het doen te lijken alsof ze uit het KPN systeem komen. Dat het er zo veel zijn is niet vreemd, gezien KPN een van de grootste providers is.
Sommige wachtwoorden uit de lijst kwamen overeen, dit komt omdat mensen simpelweg graag dezelfde wachtwoorden voor verschillende plekken gebruiken. Helemaal de gemiddelde huis tuin en keuken gebruiker denkt al snel dat als hij emailadres wachtwoord in die volgorde ziet staan dat het perse het wachtwoord moet zijn dat bij het emailadres hoort.
Er is dus geen enkel bewijs dat er in de KPN servers ingebroken is. Dit hielden ze ook aan het begin vol, alleen was er logische twijfel toen de lijst was gepubliceerd. Hierdoor zijn uit voorzorg de systemen platgelegd.
http://www.kpn.com/corporate/Digitale-inbraak.htm
klanten worden er geadviseerd om hun wachtwoorden te wijzigen, zoiets creeert heel veel onrust.
Die lijst van babydump heeft de paniek alleen maar vergroot, en heeft aangetoond dat KPN ook bij deze vorm van manipulatie erg traag, onsamenhangend en onzeker reageert.
De reputatie van KPN is kapot, als het al niet eerder zo was.
Lees je eens in faDat is niet de meest recente informatie:quote:
[..]
Er is wel degelijk op hun servers ingebroken:
http://www.kpn.com/corporate/Digitale-inbraak.htm
klanten worden er geadviseerd om hun wachtwoorden te wijzigen, zoiets creeert heel veel onrust.
Die lijst van babydump heeft de paniek alleen maar vergroot, en heeft aangetoond dat KPN ook bij deze vorm van manipulatie erg traag, onsamenhangend en onzeker reageert.
De reputatie van KPN is kapot, als het al niet eerder zo was.
'Gelekte info niet van KPN'
http://tweakers.net/nieuw(...)y-dump-database.html
http://www.nu.nl/algemeen(...)ns-niet-van-kpn.html
KPN zal dit echter eerst zelf 100% bevestigd willen hebben voordat zij een officiële statement op eigen site zetten. Er zijn al meerdere gebruikers o.a op tweakers die aangeven op de lijst te staan en dat het wachtwoord overeen komt met dat van babydump en niet met dat van KPN. Het vermoeden voor misbruik was echter genoeg voor KPN om de servers uit voorzorg uit te schakelen, een wijze beslissing. KPN heeft tevens een gratis nummer aangeboden en de mensen uit de lijst gebeld met een coulance aanbod, wat achteraf niet nodig bleek omdat KPN niks hiermee te maken heeft. Helemaal geen faal dus van KPN.
Wat is er aan de hand?
Op woensdag 8 februari maakten we bekend dat een hacker (of hackers) zich toegang wist(en) te verschaffen tot een serverdomein in het IT-netwerk van KPN. Als dienstverlener hebben we de veiligheid van klantgegevens hoog in het vaandel staan. Daarom betreuren we deze situatie ten zeerste. We kunnen ons voorstellen dat u zich zorgen maakt over de bescherming van uw klantgegevens.
Daarom betreuren we deze situatie ten zeerste.quote:
Van de website van KPN:
Wat is er aan de hand?
Op woensdag 8 februari maakten we bekend dat een hacker (of hackers) zich toegang wist(en) te verschaffen tot een serverdomein in het IT-netwerk van KPN. Als dienstverlener hebben we de veiligheid van klantgegevens hoog in het vaandel staan. Daarom betreuren we deze situatie ten zeerste. We kunnen ons voorstellen dat u zich zorgen maakt over de bescherming van uw klantgegevens.
Dat is gratis betreuren ; de sukkels
Gelukkig zit ik niet meer bij KPN, wat ik eerst wel dacht, want ik ben 2 maanden geleden overgestapt.
Wachtwoord via die link gewijzigd. Kon nog steeds met oud ww inloggen. Toen maar me ww veranderd bij kpn inlog zelf en nu wel ok. Deze link werkt alleen voor mensen met kpnmail. en ik kom van het hetnet.nl wat kpn heb overgenomen. Jammer dat dat er niet bij vermeld staat.quote:
[..]
Er is wel degelijk op hun servers ingebroken:
http://www.kpn.com/corporate/Digitale-inbraak.htm
klanten worden er geadviseerd om hun wachtwoorden te wijzigen, zoiets creeert heel veel onrust.
Die lijst van babydump heeft de paniek alleen maar vergroot, en heeft aangetoond dat KPN ook bij deze vorm van manipulatie erg traag, onsamenhangend en onzeker reageert.
De reputatie van KPN is kapot, als het al niet eerder zo was.
[ Bericht 0% gewijzigd door Noelle06 op 12-02-2012 00:50:42 ]
Hmm en wat als dan zo'n link niet werkt.... wat dan ? einde oefening. ?quote:
[..]
Wachtwoord via die link gewijzigd. Kon nog steeds met oud ww inloggen. Toen maar me ww veranderd bij kpn inlog zelf en nu wel ok. Deze link werkt alleen voor mensen met kpnmail. en ik kom van het hetnet.nl wat kpn heb overgenomen. Jammer dat dat er niet bij vermeld staat.
Gewoon inloggen bij kpn zelf en daar je ww veranderen.quote:
[..]
Hmm en wat als dan zo'n link niet werkt.... wat dan ? einde oefening. ?
Als er aantoonbaar gegevens zijn gestolen en je blijft ontkennen dat er niet bij jou is ingebroken en je blijft ontkennen dat jouw systemen zijn gehacked, gelooft niemand je en maak je jezelf belachelijk.quote:
ik had ook op rtl nieuws begrepen dat het niet met kpn te maken had, maar met babydump..!
Nu is dus toch uitgekomen hoe het werkelijk zit.
.
[ Bericht 0% gewijzigd door yyyentle op 12-02-2012 11:19:13 ]
-Al 3 weken terug kwam KPN erachter dat men gehacked was.
-Pas enekele dagen terug maakt KPN publiek dat hun systeem gehacked is.
-Eerste instantie meld KPN dat er ZEKER geen data gelekt is.
-Nadat een anonieme hacker meld dat hij 16GB aan data heeft gelekt, zeg KPN in 1 keer: Ja uhhhhh we weten eigenlijk niet zeker of er data gestolen is.
-Het feit dat KPN niets heeft geroepen over de wachtwoorden, geeft zeer waarschijnlijk aan dat men de passwords wel degelijk plain, of met zwakke encryptie opslaat.
Dan over het weer openstellen van de mail: Een groffe schande!!!! Als je NIET zeker bent over de status van je systeem, moet je van het ergste uit gaan, dus iedereen DWINGEN zijn password te veranderen, het is niet heel moeilijk om even een extra veld aan de database toe te voegen, en bij te houden of iemand ze password heeft veranderd.
Klopt, maar de kans is alsnog aanzienlijk dat hackers wel degelijk alle gegevens hebben.quote:
ik had ook op rtl nieuws begrepen dat het niet met kpn te maken had, maar met babydump..!
Nog een keertje dan, speciaal voor speciale mensen:quote:
[..]
Lees je eens in faDat is niet de meest recente informatie:
'Gelekte info niet van KPN'
http://tweakers.net/nieuw(...)y-dump-database.html
http://www.nu.nl/algemeen(...)ns-niet-van-kpn.html
KPN zal dit echter eerst zelf 100% bevestigd willen hebben voordat zij een officiële statement op eigen site zetten. Er zijn al meerdere gebruikers o.a op tweakers die aangeven op de lijst te staan en dat het wachtwoord overeen komt met dat van babydump en niet met dat van KPN. Het vermoeden voor misbruik was echter genoeg voor KPN om de servers uit voorzorg uit te schakelen, een wijze beslissing. KPN heeft tevens een gratis nummer aangeboden en de mensen uit de lijst gebeld met een coulance aanbod, wat achteraf niet nodig bleek omdat KPN niks hiermee te maken heeft. Helemaal geen faal dus van KPN.
1) Er is ingebroken in het systeem van KPN. De daders hebben daar flink lang kunnen rondneuzen, maar of ze iets bemachtigd hebben - en zo ja: wat - is niet bekend. KPN heeft met opzet de klanten in eerste instantie hier niet over geinformeerd.
2) De lijst met gegevens die gepost was kwam idd NIET van de KPN servers. Het is echter nog steeds mogelijk dat de echte hackers een dergelijke lijst wel degelijk hebben.
Snap je hem weer? Mooi.
Een hacker heeft tegen webwereld bevestigt dat hij 16 GB aan data heeft gestolen. Dat is erg veel, dat is meer dan alleen persoonsgegevens, uit ervaring weet ik dat een klantbestand van een miljoen users ongeveer 20MB is, kortom 16 GB zou betekenen dat er OF heel veel transactie data bij zit, maar het zouden bijvoorbeeld ook scans van legitimatiegegevens kunnen zijn. Als dat waar is, dan zitten we in een digitale nucleaire ramp waar je nog vele jaren problemen van ondervind.quote:
[..]
Nog een keertje dan, speciaal voor speciale mensen:
1) Er is ingebroken in het systeem van KPN. De daders hebben daar flink lang kunnen rondneuzen, maar of ze iets bemachtigd hebben - en zo ja: wat - is niet bekend. KPN heeft met opzet de klanten in eerste instantie hier niet over geinformeerd.
2) De lijst met gegevens die gepost was kwam idd NIET van de KPN servers. Het is echter nog steeds mogelijk dat de echte hackers een dergelijke lijst wel degelijk hebben.
Snap je hem weer? Mooi.
Dramaqueen?quote:
ook scans van legitimatiegegevens kunnen zijn. Als dat waar is, dan zitten we in een digitale nucleaire ramp
Nee zeker niet overdreven, de combinatie van persoonsgegevens, legitimatiebewijs en ook nog eens password zijn een regelrechte ramp, ideaal scenario om heel veel fraude te plegen.quote:
Dat ben ik wel met je eens, zeker omdat ze dan het BSN hebben. Maar dan nog is een digitale nucleaire ramp een groot woord als er 'maximaal' sprake is van grootschalige fraude.quote:
[..]
Nee zeker niet overdreven, de combinatie van persoonsgegevens, legitimatiebewijs en ook nog eens password zijn een regelrechte ramp, ideaal scenario om heel veel fraude te plegen.
Maar de schaal van de fraude zou in theorie wel enorm kunnen zijn ja.
Het probleem zorgt ervoor dat mensen enorme knak krijgen in digitaal zaken doen, veel mensen zullen terecht eisen dat ze het gewoon weer op papier kunnen doen, voor organisaties als de belastingdienst en banken is dit een enorm probleem. Nog maar niet te spreken van het missen van inkomsten van online shops.quote:
[..]
Dat ben ik wel met je eens, zeker omdat ze dan het BSN hebben. Maar dan nog is een digitale nucleaire ramp een groot woord als er 'maximaal' sprake is van grootschalige fraude.
Maar de schaal van de fraude zou in theorie wel enorm kunnen zijn ja.
Je hebt zojuist mijn ouders beschrevenquote:
Mensen die niet bankieren via Internet en niets kopen via Internet zullen door dit soort dingen niet gemotiveerd zijn hun koop- en bankgedrag te wijzigen.
Jij hebt er blijkbaar geen kaas van gegeten. 20MB voor een miljoen usersquote:
[..]
uit ervaring weet ik dat een klantbestand van een miljoen users ongeveer 20MB is, kortom 16 GB zou betekenen dat er OF heel veel transactie data bij zit, maar het zouden bijvoorbeeld ook scans van legitimatiegegevens kunnen zijn. Als dat waar is, dan zitten we in een digitale nucleaire ramp waar je nog vele jaren problemen van ondervind.
Misschien als je alleen gebruikersnamen en id's opslaat, maar zelfs dan wordt het krap. Als er ook wachtwoorden bij zouden zitten ga je er sowieso overheen. Ik ben het wel met je eens dat 16 GB erg veel is voor een datatabel met klantgegevens alleen, echter kan kan natuurlijk ook heel goed zijn dat de hacker die het naar buiten heeft gebracht de boel nogal overdrijft.
Volgens de hacker is de informatie ondertussen gewist dus we zullen het nooit weten.
Bovendien blijft : dat KPN niet kan zeggen of en welke soort informatie een hacker/hackers hebben gezien of, erger, mee vandoor zijn gegaan.
Lijkt me genoeg reden om de hiervoor verantwoordelijke bestuurder in de RvB weg te sturen en compensatie te claimen. Als het nu niet gebeurt, dan uiterlijk op de aandeelhoudersvergadering.
Iedereen die fouten maakt, meteen ontslaan.quote:
Blijft het feit dat KPN niet zodanig zijn omgegaan met privacy informatie en zo verzekerd hebben dat hackers er niet bij kunnen.
Bovendien blijft : dat KPN niet kan zeggen of en welke soort informatie een hacker/hackers hebben gezien of, erger, mee vandoor zijn gegaan.
Lijkt me genoeg reden om de hiervoor verantwoordelijke bestuurder in de RvB weg te sturen en compensatie te claimen. Als het nu niet gebeurt, dan uiterlijk op de aandeelhoudersvergadering.
http://www.kpn.com/corporate/Digitale-inbraak.htmquote:Informatiemoment
Na overleg met onder meer het OM en het NCSC besloten we op 27 januari om u niet actief over de digitale inbraak te informeren, zolang dit mogelijk was. Dit was een weloverwogen besluit, want we wilden:
1. onze dienstverlening veiligstellen en onnodige onrust in de samenleving voorkomen;
2. voorkomen dat de hacker(s), na alarmering door de melding, schade zou(den) aanrichten;
3. de opsporing van de hacker(s) niet verstoren.
Na zorgvuldige afweging en overleg met de autoriteiten besloten we daarom tot een daadkrachtige aanpak in stilte.
Dat is 20 KB voor 1 user, 20 KB is 20.000 tekens per user, en dan noem je mij iemand die er geen kaas van gegeten heeft?quote:
[..]
Jij hebt er blijkbaar geen kaas van gegeten. 20MB voor een miljoen users
Ik ben het wel met je eens dat 16 GB erg veel is voor een datatabel met klantgegevens alleen, echter kan kan natuurlijk ook heel goed zijn dat de hacker die het naar buiten heeft gebracht de boel nogal overdrijft.
Volgens de hacker is de informatie ondertussen gewist dus we zullen het nooit weten.
Je rekenmachine lust in ieder geval geen kaas, dat is duidelijk.quote:
[..]
Dat is 20 KB voor 1 user, 20 KB is 20.000 tekens per user, en dan noem je mij iemand die er geen kaas van gegeten heeft?
Ik deed het uit me hoofd, maar kan het wel even voor je bekijken hoor als je wilt?quote:
[..]
Je rekenmachine lust in ieder geval geen kaas, dat is duidelijk.
Een rekenmachine heb je eigenlijk ook niet nodig voor zo´n simpele rekensom, een telraam is al voldoende.quote:
[..]
Ik deed het uit me hoofd, maar kan het wel even voor je bekijken hoor als je wilt?
20KB * 1 miljoen.
Ik zat er idd een 0 te ver vanaf, maar dan nog, er is 16 GB aan data gestolen, Maar ontopic, wat moet dat wel niet zijn, ik denk toch wel iets vrij ernstig, waarom denk je dat KPN naar die CyberDudes gaat? Om te vertellen dat alleen de passwords van wat users in handen van hackers zijjn gevallen?quote:
[..]
Een rekenmachine heb je eigenlijk ook niet nodig voor zo´n simpele rekensom, een telraam is al voldoende.
20KB * 1 miljoen.
Wie zegt dat er 16GB is gestolen? Daar is vooralsnog geen bewijs dus dat is allemaal speculatie.quote:
[..]
Ik zat er idd een 0 te ver vanaf, maar dan nog, er is 16 GB aan data gestolen, Maar ontopic, wat moet dat wel niet zijn, ik denk toch wel iets vrij ernstig, waarom denk je dat KPN naar die CyberDudes gaat? Om te vertellen dat alleen de passwords van wat users in handen van hackers zijjn gevallen?
KPN is naar de instanties gegaan omdat er is ingebroken, dat doe ik ook als iemand bij mij inbreekt.
PS. 20MB voor 1 miljoen gebruikers komt op 20 bytes per gebruiker. Dat is al te weinig voor naam en adres.
Als de hacker daadwerkelijk KPN gegevens had waarop post hij dan een lijst van babydump gegevens met daarboven de tekst: "KPN houdt vol dat er geen gegevens zijn gestolen". Waarom dan geen echte KPN gegevens?Ben inmiddels nog steeds verbaast over hoe vrij KPN kan spreken in de pers zonder ook maar een kritische vraag te krijgen. Vanuit het OM ook meteen de reactie naar buiten dat er alles aan gedaan wordt de hackers op te sporen. In mijn opinie is hier maar 1 partij fout, en is er ook maar 1 partij die vervolgd moet worden, en dat is KPN.
Omdat de persoon/personen die die 500 gegevens had gepost zeer waarschijnlijk niet dezelfde persoon/personen zijn die hebben ingebroken bij KPN afgelopen maand. Die uitgelekte lijst is waarschijnlijk gewoon een eenmansactie geweest van een of andere troll.quote:
Alsjeblieft he al die domme vrouwen reacties.
Dat heeft de hacker gezegt tegen Webwereld, ik ken webwereld als een behoorlijk betrouwbaar magazine, en ik zou niet weten waarom hij daarover zou moeten gaan liegen.quote:
[..]
Wie zegt dat er 16GB is gestolen? Daar is vooralsnog geen bewijs dus dat is allemaal speculatie.
KPN is naar de instanties gegaan omdat er is ingebroken, dat doe ik ook als iemand bij mij inbreekt.
PS. 20MB voor 1 miljoen gebruikers komt op 20 bytes per gebruiker. Dat is al te weinig voor naam en adres.
PS: Gezipt scheelt het meestal factor 8
Dankzij de amateuristische beveiliging van o.a nu weer KPN wordt het steeds moeilijker om een EPD erdoor te krijgen. Opzich wel jammer want het EPD kan echt een prachtig systeem worden wat de overheid een hele hoop geld kan besparen.quote:
Nog mensen met een electronisch patienten dossier hier?
quote:
[..]
Dat heeft de hacker gezegt tegen Webwereld, ik ken webwereld als een behoorlijk betrouwbaar magazine, en ik zou niet weten waarom hij daarover zou moeten gaan liegen.
PS: Gezipt scheelt het meestal factor 8
Geen bewijs derhalve is elke verwijzing naar die 16GB ('reeds vernietigd') pure speculatie.quote:WW: Goh, hacker, vertel ons eens wat je hebt gestolen?
H: Nou ik heb ingebroken en 16GB aan data gestolen!
WW: Wow! Kan je ons dat laten zien?
H: Nou uh nee, ik heb het gelijk vernietigd.
WW: Maakt niet uit, we zetten het op onze site, de meeste mensen lezen toch alleen de koeieletters boven een artikel!
Dit.quote:
Ok even de feiten op een rij:
-Al 3 weken terug kwam KPN erachter dat men gehacked was.
-Pas enekele dagen terug maakt KPN publiek dat hun systeem gehacked is.
-Eerste instantie meld KPN dat er ZEKER geen data gelekt is.
-Nadat een anonieme hacker meld dat hij 16GB aan data heeft gelekt, zeg KPN in 1 keer: Ja uhhhhh we weten eigenlijk niet zeker of er data gestolen is.-Het feit dat KPN niets heeft geroepen over de wachtwoorden, geeft zeer waarschijnlijk aan dat men de passwords wel degelijk plain, of met zwakke encryptie opslaat.
Dan over het weer openstellen van de mail: Een groffe schande!!!! Als je NIET zeker bent over de status van je systeem, moet je van het ergste uit gaan, dus iedereen DWINGEN zijn password te veranderen, het is niet heel moeilijk om even een extra veld aan de database toe te voegen, en bij te houden of iemand ze password heeft veranderd.
Zeer verontrustend allemaal; nog steeds geen uitsluitstel WAT er gehackt is, dan wel gehackt ZOU kunnen zijn.
Wel weer dringende adviezen om wachtwoorden te wijzigen, tja,allemaal half/vaag/ongeinteresseerde houding.
Ik vind het heel eng dat KPN met zo'n "baby dump grap" zich zo heeft laten kennen en deze "baby-dump grap" heeft wel degelijk aangetoond dat KPN zijn IT-organisatie niet op orde heeft.
WAAROM ZOU KPN mensen adviseren hun ww te veranderen ? Kennelijk is er een GOEDE REDEN om dat te doen, bijvoorbeeld een HACK; dan moet ook straks bekend worden WAT er gehackt is. Dus dit creeert sowieso onrust.
.. maar het is ook mogelijk dat men het NIET weet, en daarom zomaar WAT adviseert en men elkaar wil indekken.
Tuurlijk, maar aan andere kant, waarom zou die persoon er over liegen?quote:
[..]
[..]
Geen bewijs derhalve is elke verwijzing naar die 16GB ('reeds vernietigd') pure speculatie.
Stoerheid, troll, KPN schade willen toebrengen? Als je een willekeurig cafe binnenloopt word je ook bedolven onder de stoere verhalen die naderhand niet waar blijken.quote:
[..]
Tuurlijk, maar aan andere kant, waarom zou die persoon er over liegen?
KPN vecht tegen een onzichtbare vijand die allerlei zaken claimt, geen wonder dat KPN uitgaat van het worst case scenario en mensen aanraadt om het ww te wijzigen. Baat het niet dan schaadt het niet.
Wanneer hij echt schade wou toebrengen zou hij wel de boel online dumpen, de boel defacen, of iets anders evil doen. Daarnaast heb ik sterk het idee dat het niet onwaarschijnlijk is dat er meerdere personen al toegang hebben gehad.quote:
[..]
Stoerheid, troll, KPN schade willen toebrengen? Als je een willekeurig cafe binnenloopt word je ook bedolven onder de stoere verhalen die naderhand niet waar blijken.
KPN vecht tegen een onzichtbare vijand die allerlei zaken claimt, geen wonder dat KPN uitgaat van het worst case scenario en mensen aanraadt om het ww te wijzigen. Baat het niet dan schaadt het niet.
Goed idee : iedereen die meer dan toevallig grove fouten maakt, ontslaan ! Het hele zootje aan sneeuwschuiven zetten, van overbetaalde onderpresterende ambtenaren tot klungels aan de top van banken, telecombedrijven ; en vergeet de regering, TK en provincies niet.quote:
[..]
Iedereen die fouten maakt, meteen ontslaan.
Een Server jarenlang niet patchen is redelijk schandalig, het is ongeveer vergelijkbaar met een snackbar die 2 jaar lang geen mop over de vloer haalt.quote:
[..]
Goed idee : iedereen die meer dan toevallig grove fouten maakt, ontslaan ! Het hele zootje aan sneeuwschuiven zetten, van overbetaalde onderpresterende ambtenaren tot klungels aan de top van banken, telecombedrijven ; en vergeet de regering, TK en provincies niet.
Maar ook personeel die het allemaal wel goed vind, aan het eind van de maand wordt het salaris toch wel weer gestort...quote:
't zal niet echt een fout zijn, 't is vaak een management besluit alsmede een budgetkwestie.
Ik durf te wedden dat de beveiliging van een startup waarbij het personeel een aandeel heeft gekregen in het bedrijf beter is geregeld dan bij een bedrijf waarbij het personeel gewoon in loondienst werkt.
En 'zo werkt het toch ook? We hebben immers firewalls?'
management besluit - zeker, en daarom verwijtbaar : managers die teveel verdienen en niet presteren ; dus te duur ; dump ze.quote:
't zal niet echt een fout zijn, 't is vaak een management besluit alsmede een budgetkwestie.
Vooral domme managers die alleen de kosten kant bekijken.quote:
[..]
management besluit - zeker, en daarom verwijtbaar : managers die teveel verdienen en niet presteren ; dus te duur ; dump ze.
Ik vind het gewoon al erg genoeg dat KPN 2 miljoen email accounts onder zijn hoede heeft.
To big to fail ..
Koppelverkopen met digitale produkten en infrastructuur moeten verboden worden.
Er zijn maar weinig mensen met een "actieve" KPN email account, echter er zijn wel heel veel mensen met een Planet adres, Planet was op moment van overname 1 van de grootste spelers van Nederland, en juist veel mensen hebben destijds hun eerste mail genomen bij Planet.quote:
Wat zijn de alternatieven voor mensen met een email account van KPN ? Vaak is alles in 1 pakket opgenomen incl. internet/bellen/TV, men kan moeilijk, of niet meer terug.
Ik vind het gewoon al erg genoeg dat KPN 2 miljoen email accounts onder zijn hoede heeft.
To big to fail ..
Koppelverkopen met digitale produkten en infrastructuur moeten verboden worden.
Je email omzetten is niet altijd makkelijk, sterker nog bij sommige providers kan je je oude mail niet gratis laten forwarden, had dat bij XS4all, ik had daar een heel actief mail adres, maar enige manier om toegang te houden was een goedkoop abbo nemen van 10 euro per maand.
Edit: het gaat naar mijn weten niet om 2 miljoen email accounts, maar ook accounts van mensen die bijvoorbeeld abonee zijn. Ik ben zelf KPN abonee maar naar mijn weten heb ik er geen mail account, en al helemaal niet actief.
Uit voorzorg maatregelen nemen is je laten kennen? KPN onderneemt actie omdat er risico bestond nav de lijst, wat is hier verkeerd aan? Heb je liever dat ze het negeren en geen actie ondernemen?quote:
[..]
Dit.
Zeer verontrustend allemaal; nog steeds geen uitsluitstel WAT er gehackt is, dan wel gehackt ZOU kunnen zijn.
Wel weer dringende adviezen om wachtwoorden te wijzigen, tja,allemaal half/vaag/ongeinteresseerde houding.
Ik vind het heel eng dat KPN met zo'n "baby dump grap" zich zo heeft laten kennen en deze "baby-dump grap" heeft wel degelijk aangetoond dat KPN zijn IT-organisatie niet op orde heeft.
WAAROM ZOU KPN mensen adviseren hun ww te veranderen ? Kennelijk is er een GOEDE REDEN om dat te doen, bijvoorbeeld een HACK; dan moet ook straks bekend worden WAT er gehackt is. Dus dit creeert sowieso onrust.
.. maar het is ook mogelijk dat men het NIET weet, en daarom zomaar WAT adviseert en men elkaar wil indekken.
Het is overigens too big to fail en tevens zou dit betekenen dat KPN te groot is om te kunnen falen.
Tuurlijk is aktie geboden, maar het is gepaard gegaan met veel onduidelijkheid, irritatie en onrust. De gevoelens van onzekerheid zijn nog niet weg.quote:
[..]
Uit voorzorg maatregelen nemen is je laten kennen? KPN onderneemt actie omdat er risico bestond nav de lijst, wat is hier verkeerd aan? Heb je liever dat ze het negeren en geen actie ondernemen?
Nee, ik bedoel hiermee dat mismanagement bij KPN niet tot ondergang of faillissement kan leiden, de overheid springt namelijk wel weer bij; KPN is de NS van het internetverkeer.quote:Het is overigens too big to fail en tevens zou dit betekenen dat KPN te groot is om te kunnen falen.
Het omvallen van KPN betekent dat 2 miljoen klanten met kritieke informatielijnen worden benadeeld. Zoiets als het omvallen van een bank, maar dan met privacy en data waardes.
Ik vind het ook heel raar dat een hack bij KPN gelijk toegang kan geven tot gegevens van 2 miljoen KPN klanten; alsof er geen veiligheidsschotten aanwezig zijn.
Doe ik morgen welquote:Geachte klant,
Zoals u wellicht heeft vernomen, heeft KPN gisteren besloten om uit voorzorg alle email en webmail van KPN uit de lucht te nemen. Dit betrof 2 miljoen emailaansluitingen van KPN, waaronder kpnmail, hetnet en planet. Ook uw email was hierdoor tijdelijk niet toegankelijk.
Wij hebben deze maatregel genomen omdat een lijst met 539 klantnamen met adres, woonplaats, telefoonnummer, gebruikersnamen en wachtwoorden is gepubliceerd op het internet. Wij konden niet uitsluiten dat de gegevens van nog meer klanten in handen van derden zijn gevallen. Omdat wij het zekere voor het onzekere wilden nemen, hebben wij de emaildienst van onze klanten tijdelijk uit de lucht genomen.
Op dit moment doen alle mail-functionaliteiten het weer.
Met deze mail willen wij u persoonlijk informeren hoe u uw wachtwoord zelf opnieuw kunt instellen. Wij adviseren u dit zo snel mogelijk te doen. Ga daarvoor naar https://www.kpn.com/digitaleinbraak en volg de instructie.
Als u het oude wachtwoord voor uw KPN-mail ook gebruikte op andere plekken (bijvoorbeeld facebook, hyves, marktplaats etc.), dan adviseren wij u om dit direct te wijzigen.
Wij zijn ons bewust van de overlast die dit voor u met zich meebrengt - en betreuren dit zeer.
Voor meer informatie kunt u terecht op kpn.com.
Hoogachtend,
Jacob Middeldorp
Directeur Klantcontact
Weten we zeker dat de passwords bij KPN plain worden opgeslagen ? De babywinkel deed dat idd (en blijkbaar gebruikten heel veel mensen daar hetzelfde wachtwoord als voor KPN zodat ze dat niet eens merkten) - maar over KPN weten we het nog niet.quote:
Gezien het korte tijdsbestek vermoed ik dat men alleen de mensen hun passwords laat resetten, het zal me niet verbazen wanneer de passwords nog steeds plain worden opgeslagen.
Misschien hebben de hackers werkelijk een paar gig aan data... maar is het allemaal zo zwaar gecodeerd dat ze er niets mee kunnen.
Ok stel dat KPN daadwerkelijk hashed opslaat, dan lekt er in 1 keer iemand 500 passwords naar buiten, dan zou je toch direct zeggen: mensen dat zijn geen accounts van ons, maar van iemand anders?quote:
[..]
Weten we zeker dat de passwords bij KPN plain worden opgeslagen ? De babywinkel deed dat idd (en blijkbaar gebruikten heel veel mensen daar hetzelfde wachtwoord als voor KPN zodat ze dat niet eens merkten) - maar over KPN weten we het nog niet.
Misschien hebben de hackers werkelijk een paar gig aan data... maar is het allemaal zo zwaar gecodeerd dat ze er niets mee kunnen.
Het feit dat ze dat niet deden zegt denk ik genoeg. Daarnaast is mjin ervaring dat echt krachtig versleutelen van passwords bij een hoop bedrijven pas een jaar of 3 geleden gebeurt, vooral omdat het tegenwoordig standaard in de frameworks zit ingebakken.
Keer op keer verbaas je me in dit topic met je aannames. In plaats van lukraak wat te roepen kan je beter eerst onderzoek doen naar de feiten.quote:
[..]
Ok stel dat KPN daadwerkelijk hashed opslaat, dan lekt er in 1 keer iemand 500 passwords naar buiten, dan zou je toch direct zeggen: mensen dat zijn geen accounts van ons, maar van iemand anders?
Kijk nou, daar doe je het weer!quote:Het feit dat ze dat niet deden zegt denk ik genoeg.
En wat heeft dat in hemelsnaam met KPN te maken?quote:Daarnaast is mjin ervaring dat echt krachtig versleutelen van passwords bij een hoop bedrijven pas een jaar of 3 geleden gebeurt, vooral omdat het tegenwoordig standaard in de frameworks zit ingebakken.
Ah, wat is er volgens jou dan wel aan de hand?quote:
[..]
Keer op keer verbaas je me in dit topic met je aannames. In plaats van lukraak wat te roepen kan je beter eerst onderzoek doen naar de feiten.
[..]
Kijk nou, daar doe je het weer!
[..]
En wat heeft dat in hemelsnaam met KPN te maken?
http://www.kpn.com/corporate/Digitale-inbraak.htmquote:
[..]
Ah, wat is er volgens jou dan wel aan de hand?
De rest is allemaal gissen en speculeren, daar schiet niemand iets mee op.
We zijn hier in nieuws om een discussie te voeren, ik roep niet zomaar wat maar baseer mijn zaken op bekende feiten, dat jij zo naieef bent om alleen af te gaan op wat KPN zegt moet je zelf weten, feit is dat de hack al 3 weken plaats heeft gevonden, dat men continue weer van mening veranderd, en dat wel duidelijk is dat KPN met het weer activeren van de accounts een hoog risico neemt.quote:
[..]
http://www.kpn.com/corporate/Digitale-inbraak.htm
De rest is allemaal gissen en speculeren, daar schiet niemand iets mee op.
Als het meer dan toevallig is......... er staan veel te veel incompetente of helemaal niet functionerende managers op de loonlijsten bij de overheid en semi-overheid maar het lijkt mij dat dit bij KNP al lang niet meer zo is. Persoonlijk vind ik de service bij KPN prima.quote:
[..]
Goed idee : iedereen die meer dan toevallig grove fouten maakt, ontslaan ! Het hele zootje aan sneeuwschuiven zetten, van overbetaalde onderpresterende ambtenaren tot klungels aan de top van banken, telecombedrijven ; en vergeet de regering, TK en provincies niet.
Mensen voor fouten ontslaan vind ik echt te erg. Omdat ik niet veel verstand van computers heb volg ik de discussie hier maar intussen denk ik dat je hackers nooit en te nimmer helemaal kunt stoppen net zoals je diefstal niet kunt tegenhouden. Je kunt het hooguit zoveel mogelijk proberen te voorkomen en het is de vraag of KPN dat voldoende heeft gedaan.
Ontslaan van lager personeel lijkt me ook niet aan de orde, bij zoveel bedrijven (ook grote) heeft men niet echt een vast beleid hoe snel een server geupgrade moet worden, het gebeurt wel, maar meestal nogal adhoc. Komt ook vaak door verloop in een team, onbekendheid met legacy omgevingen, etc.quote:
[..]
Als het meer dan toevallig is......... er staan veel te veel incompetente of helemaal niet functionerende managers op de loonlijsten bij de overheid en semi-overheid maar het lijkt mij dat dit bij KNP al lang niet meer zo is. Persoonlijk vind ik de service bij KPN prima.
Mensen voor fouten ontslaan vind ik echt te erg. Omdat ik niet veel verstand van computers heb volg ik de discussie hier maar intussen denk ik dat je hackers nooit en te nimmer helemaal kunt stoppen net zoals je diefstal niet kunt tegenhouden. Je kunt het hooguit zoveel mogelijk proberen te voorkomen en het is de vraag of KPN dat voldoende heeft gedaan.
Dan ken je het verschil niet tussen feiten en onzin. Het hele topic loop je de drama queen uit te hangen met aannames, dingen die je niet zouden verbazen (en dus nergens op gebaseerd zijn) en rekensommen die je herhaaldelijk verkeerd maakt. Van een security expert verwacht ik wel iets meer voorzichtigheid in het maken van aannames en verdachtmakingen.quote:
[..]
We zijn hier in nieuws om een discussie te voeren, ik roep niet zomaar wat maar baseer mijn zaken op bekende feiten,
Dat is een feit.quote:feit is dat de hack al 3 weken plaats heeft gevonden,
Wijs even aan waar dat allemaal is gebeurd?quote:dat men continue weer van mening veranderd,
Welk risico? Je zei eerder dat het de enige goede manier was.quote:en dat wel duidelijk is dat KPN met het weer activeren van de accounts een hoog risico neemt.
http://webwereld.nl/nieuw(...)emen-nekten-kpn.htmlquote:
[..]
Dan ken je het verschil niet tussen feiten en onzin. Het hele topic loop je de drama queen uit te hangen met aannames, dingen die je niet zouden verbazen (en dus nergens op gebaseerd zijn) en rekensommen die je herhaaldelijk verkeerd maakt. Van een security expert verwacht ik wel iets meer voorzichtigheid in het maken van aannames en verdachtmakingen.
[..]
Dat is een feit.
[..]
Wijs even aan waar dat allemaal is gebeurd?
[..]
Welk risico? Je zei eerder dat het de enige goede manier was.
En waar heb ik gezegt dat dit enige goede manier was? Ik heb juist gezegt dat de enige goede manier is om een full reset te doen, en de wachtwoorden per post te sturen, als 2e optie inderdaad de huidige methode, maar dan wel mensen dwingen hun password direct te veranderen.quote:Ze claimen dat ze niet minder dan 16Gb aan data hebben opgehaald. Inmiddels is die data vernietigd, bezweert de hacker. Of dat waar is kan niet worden gecontroleerd. Maar het is wel opmerkelijk dat de hackers zeggen dat ze data gedownload hebben, want KPN heeft eerder verklaard dat er niets was gedownload. Inmiddels erkent het bedrijf dat het dit niet zeker weet.
"Daarbij ging het om veel meer dan KPN vertelde", zegt de hacker die spreekt op voorwaarde van anonimiteit. Het ging niet alleen om de data. De hackers konden nog veel meer op de server, stelt onze bron. "Zo konden wij mensen aan- en afsluiten van internet als we hadden gewild."
KPN heeft gezegd dat er geen bewijs was dat gegevens zijn gekopieerd. Dat een journalist dat als een ontkenning leest wil niet zeggen dat het een ontkenning is.quote:
[..]
http://webwereld.nl/nieuw(...)emen-nekten-kpn.html
Jij hebt het over 'dat men continu van mening verandert', dat is dus geenszins waar gebleken.
Daar heb je dan weer gelijk in, dat heb ik verkeerd gelezen.quote:En waar heb ik gezegt dat dit enige goede manier was? Ik heb juist gezegt dat de enige goede manier is om een full reset te doen, en de wachtwoorden per post te sturen, als 2e optie inderdaad de huidige methode, maar dan wel mensen dwingen hun password direct te veranderen.
wil ik het wijzigen, komen ze met deze meldingquote:
Ik heb net een mailtje gekregen om het wachtwoord te resetten:
[..]
Doe ik morgen wel
quote:Het wachtwoord moet mininmaal 8 en maximaal 16 karakters lang zijn en mag alleen letters, cijfer en de karakters .-_ bevatten.
Nee, dat zei men niet: http://webwereld.nl/nieuw(...)antgegevens-kpn.htmlquote:
[..]
KPN heeft gezegd dat er geen bewijs was dat gegevens zijn gekopieerd. Dat een journalist dat als een ontkenning leest wil niet zeggen dat het een ontkenning is.
Jij hebt het over 'dat men continu van mening verandert', dat is dus geenszins waar gebleken.
[..]
Daar heb je dan weer gelijk in, dat heb ik verkeerd gelezen.
Kortom hier zegt men heel expliciet dat er NIETS gekopieerd is.quote:Volgens woordvoerder Patrick Mikkelsen werd de inbreker op 20 januari ontdekt. "Toen was het waarschijnlijk al enkele dagen aan de gang. Wij hebben toen direct het lek gedicht, maar op 27 januari bleek hij nog steeds toegang te hebben tot de server. We hebben het toen alsnog gedicht en de autoriteiten ingeschakeld."
Volgens Mikkelsen kon de hacker wel klantgegevens inzien, maar is er niets gekopieerd. "We hebben gecontroleerd waar hij bij is geweest, maar hebben niet gezien dat er iets gekopieerd was. Hij heeft helemaal niets met de gegevens gedaan."
Lees nou wat die kerel zegt, niet wat de journalist ervan maakt.quote:
[..]
Nee, dat zei men niet: http://webwereld.nl/nieuw(...)antgegevens-kpn.html
[..]
Kortom hier zegt men heel expliciet dat er NIETS gekopieerd is.
Niet gezien dat er is gekopieerd. Daarnaast niets met de gegevens gedaan, dus niets gewijzigd of verwijderd.quote:"We hebben gecontroleerd waar hij bij is geweest, maar hebben niet gezien dat er iets gekopieerd was. Hij heeft helemaal niets met de gegevens gedaan."
-Namelijk niet gezien, als in: we hebben niet kunnen vaststellen
-Of: we hebben vastgestelt dat er niets is gekopieerd.
Echter, als je de laatste zin leest, dan staat er toch vrij expliciet dat er geen zaken in handen van de hacker zijn gevallen, en juist dat laatste lijkt me wel veel te stellig om te beweren.
Waar baseer je dit op? Dit is gewoon aan aanname n.a.v. de berichten van een mogelijke hack. Er is geen bewijs dat dit daadwerkelijk het geval is. Mocht dit wel het geval zijn dan ben ik net zo verbaasd.quote:
Ik vind het ook heel raar dat een hack bij KPN gelijk toegang kan geven tot gegevens van 2 miljoen KPN klanten; alsof er geen veiligheidsschotten aanwezig zijn.
Ik denk meer dat ze bedoelen met "Hij heeft helemaal niets met de gegevens gedaan" dat er geen wijziging in de systemen aan de data is gedaan. Ik concludeer hieruit niet dat ze ontkennen dat er data is gestolen.quote:
Ik snap nu hoe je het leest, je kan de zin namelijk op 2 manieren interpreteren:
-Namelijk niet gezien, als in: we hebben niet kunnen vaststellen
-Of: we hebben vastgestelt dat er niets is gekopieerd.
Echter, als je de laatste zin leest, dan staat er toch vrij expliciet dat er geen zaken in handen van de hacker zijn gevallen, en juist dat laatste lijkt me wel veel te stellig om te beweren.
Voor de niet techneuten, UTF-8 heeft met character encoding te maken, en zorgt ervoor dat bijvoorbeeld vreemde tekens uit andere talen goed in je browser tonen.quote:Hoe gaat KPN om met wachtwoorden?
De wachtwoorden van alle KPN-accounts worden versleuteld met UTF8, een onderdeel van een set aan versleutelingstechnieken waar UTF8 slechts een klein onderdeel van is.
Uit veiligheidsoverwegingen delen we niet hoe deze set in elkaar zit.
http://nl.wikipedia.org/wiki/UTF-8
Hun websites worden helemaal niet meer beheerd, kijk en huiver:
https://webmail.kpnmail.nl/mail/logon.asp
Er staat o.m.
Bel gratis 0800-0035
(24 uur per dag bereikbaar).
Tip: Houd uw klantnummer bij de hand.
---------------------------------------------------------------
Ik dus bellen 03:30 uur midden in de nacht, want ik wil niet 1 uur in de wacht staan; wat hoor ik:
".. de klantenservice is gesloten ..., we zijn open van 08:00 tot 22:00... "
Einde oefening voor KPN.
quote:
Ik dus bellen 03:30 uur midden in de nacht, want ik wil niet 1 uur in de wacht staan
quote:
Zowel in de techniek als in de klantgerichtheid heeft KPN slecht werk geleverd.quote:van kpn.com:
Eerdere berichtgeving
Maandag 13 februari 10.50 uur: KPN neemt maatregelen op het gebied van veiligheid en kwaliteit
KPN neemt maatregelen op het gebied van veiligheid en kwaliteit
Naar aanleiding van de recente ontwikkelingen met hackers; een overgang in stilte op een volledig nieuw beveiligde omgeving;de bekendmaking van de digitale inbraak; en het uitschakelen en weer inschakelen van twee miljoen e-mailaccounts van het afgelopen weekend, maakt KPN een eerste balans op met leerpunten en maatregelen.
Leren
De grootschalige omzet-operatie van de KPN e-mailaccounts van het afgelopen weekend heeft voor twee miljoen klanten betekend dat hun normale e-mail tijdelijk uit de lucht was. Nadat alle e-mailaccounts weer volledig live waren heeft KPN alle klanten het advies gegeven om hun wachtwoord te wijzigen.
Eelco Blok, Bestuursvoorzitter van KPN: “De recente ontwikkelingen hebben een grote impact gehad op onze klanten en op onze organisatie. Het is nog te vroeg om volledig te evalueren, maar na een turbulent weekend kunnen we al vaststellen dat we dingen goed en dingen fout hebben gedaan. Op het gebied van onze systemen; op het gebied van onze beveiliging; maar ook op het gebied van het informeren van en communiceren met onze klanten. Daar hebben we van geleerd.”
Keuze
Nadat een lijst met privé-gegevens van klanten op het internet was gepubliceerd, kon KPN niet uitsluiten dat gegevens van klanten in handen van derden met kwade bedoelingen waren gevallen. Toen is de beslissing genomen om de e-maildienst van onze klanten tijdelijk uit de lucht te nemen. Joost Farwerck, Directeur KPN Nederland: “Afgelopen vrijdag hebben wij het zekere voor het onzekere moeten nemen. Dit als voorzorgsmaatregel om ervoor te zorgen dat onze klanten zo veilig mogelijk kunnen e-mailen. Voor die keuze nemen wij de volle verantwoordelijkheid.”
Maatregelen
Al bij de publicatie van de jaarcijfers in januari is aangekondigd dat de klant bij KPN nadrukkelijk op de eerste plaats staat. Dat is een belangrijke voorwaarde voor de succesvolle toekomst voor KPN, zijn klanten en zijn medewerkers. Er is ruimte voor investeringen in de dienstverlening voor klanten. Joost Farwerck: “Een deel van de versnelde investeringen die zijn aangekondigd,zal met voorrang in onze IT-systemen worden gedaan. Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in security maar ook in modernisering van de systemen zelf. Daarnaast zullen we op korte termijn een aantal wijzigingen in de besturing van de IT organisatie doorvoeren, om de kwaliteit en effectiviteit te vergroten. De afgelopen weken hebben de noodzaak daartoe nog eens onmiskenbaar duidelijk gemaakt. Om de dienstverlening aan klanten verder te verbeteren zal het KPN Webcare team in maart worden uitgebreid.”
Onderhoud
Diverse experts hebben in hun analyse rondom de digitale inbraak gesuggereerd dat KPN met ernstig verouderde systemen werkt, en dat bovendien verzuimd is om regelmatig updates uit te voeren. Joost Farwerck: “Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel. Dat gezegd hebbende,door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT systemen niet steeds optimaal is geweest.En daar trekken we lessen uitom de dienstverlening voor onze klanten beter en veiliger te maken.”
Omslag in denken
KPN heeft van diverse kanten het verwijt gekregen dat het te traag is geweest in het informeren van klanten. Eelco Blok: “Er zijn ingrijpende en ook de goede afwegingen gemaakt, juist in het belang van onze klanten en het continueren van de dienstverlening. Maar aan de andere kant is het zeker waar dat wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren. In de techniek ligt traditioneel onze kracht, maar onze klant moet onze hoogste prioriteit hebben.”
Als bedrijf ga je toch niet vertellen dat goede techniek je grote kracht en traditie is en dat dan 2 miljoen klanten bang moeten zijn dat hun gegevens zijn gehackt ?
Volgens mij beseffen de mensen nog niet voldoende welke ellende en schade door de laksheid van KPN in de economie is aangericht. Het zal nog wel een tijdje duren voor dat er een goed beeld te maken is over hoe KPN met zijn kritieke systemen omgaat.quote:Team
Eelco Blok: “Wij hebben in de afgelopen weken, en ook weer dit weekend, met man en macht gewerkt aan deze mega-operatie. Voor de KPN-klanten. Met uiterst geavanceerde technologie op grote schaal. En vervolgens spelen we in op de wens van klanten om duidelijkheid te krijgen waar zij klachten en mogelijke schade kunnen melden. We hebben veel over ons heen gekregen, maar er staat een gedreven en deskundig team.”
Het vertrouwen in email en internettransacties heeft een flinke knauw gekregen.
KPN vermoedt cyberaanval
Laatste update: 13 februari 2012 11:52 info.
DEN HAAG - Telecomaanbieder KPN heeft de aanvraag en uitgifte van nieuwe veiligheidscertificaten voor websites voorlopig stopgezet.
Foto: ANP
Het bedrijf houdt er rekening mee dat er is geknoeid met een server van de website waar bedrijven informatie kunnen vinden over de certficaten. Dat maakte KPN vrijdag bekend.
Sporen op de server wijzen er volgens het bedrijf op dat derden de server mogelijk hebben geprepareerd voor een cyberaanval. Daardoor kunnen servers van andere websites onbereikbaar worden gemaakt of zelfs crashen. Dat zou echter al 4 jaar geleden zijn gebeurd.
Voorzorgsmaatregel
KPN benadrukt dat de voorlopige stopzetting een voorzorgsmaatregel is. ''We hebben geen aanwijzing dat er werkelijk iets mis is, maar kunnen dat ook niet uitsluiten.'' KPN heeft de betreffende webserver vervangen. Bestaande certificaten blijven geldig.
In samenwerking met het ministerie van Binnenlandse Zaken, een belangrijke afnemer van veiligheidscertificaten, vindt nu een aanvullend onderzoek plaats ''om er zeker van te zijn dat KPN voldoet aan de vereiste waarborgen, procedures en voorschriften die gelden voor uitgifte van internetveiligheidscertificaten''.
De uitkomsten hiervan worden begin volgende week verwacht.
http://www.nu.nl/internet/2659743/kpn-vermoedt-cyberaanval-.html
[bron: Telegraaf]quote:KPN erkent fouten met zijn brief aan gedupeerde klanten na de grote hackaanval op het telecombedrijf. Abonnees reageerden verbolgen op de brief met daarin een nieuw wachtwoord voor hun afgesloten webmail inclusief het mailadres. Die combinatie zou tot fraude kunnen leiden.
Het bedrijf sloot na de hackactie vorige week de webmail van twee miljoen klanten af. Daarna vroeg KPN deze klanten hun wachtwoord op zijn website te vernieuwen en dit daar nog eens te bevestigen. Daarop kregen deze klanten hun nieuwe wachtwoord per mail binnen. Maar KPN zond ook nog de bevestiging met het wachtwoord en mailadres.„Iedereen die deze brief in handen krijgt, kan al mijn gegevens bij KPN inzien én veranderen of bestellingen op mijn naam doen”, aldus een klant. „Onbegrijpelijk”, reageert een ander, „ik krijg al jaren verkeerde post en kon nu zo in de KPN-gegevens van anderen kijken.”
De bevestigingsbrief was bedoeld als extra service, maar viel verkeerd omdat KPN na de hackactie juist meer veiligheid voor zijn klanten wilde garanderen. Vanaf zondag draait KPN het versturen van de bevestigingsbrief terug voor alle wachtwoordaanvragen via zijn website, bevestigde het concern gisteren.
Ja, mijn vroegere werkgever heeft zoiets ook eens gedaan: het versturen van een of andere onzinnige uitnodiging in een dichte aangetekende(!) envelop, en de introduktie van hun webmail (in zelfde week) ging inderdaad ook password + inlogcode in een niet dichtgeplakte envelop, maar waar die flap zo naar binnen was gevouwen.quote:
Ik had hem ook, lekker slim, om een password PLAIN in een brief te versturen, mijn post vind ik regelmatig geopend terug bovenop de brievenbus
Dat was ook even een niet-te-filmen moment.
Je moet natuurlijk ook niet gaan doorslaan in je security. Dit is een nieuw gegenereerd wachtwoord dat niet voor andere dingen gebruikt wordt. Het staat je vrij dit te wijzigen. Het gaat alleen om een internetconnectie. Het schreeuwerige taalgebruik van de Telegraaf stoort me weer. "en kon nu zo in de KPN gegevens van anderen kijken", dus als toevallig van één persoon een verkeerde brief net op die dag bij jou terecht komt, jij die open maakt (die is niet voor jou bedoeld, dus gewoon even bij het juiste adres afleveren of retour afzender), dan zul je hooguit van 1 persoon de gegevens zien. Ze doen nu alsof ze je een database hebben gestuurd met de accountgegevens. En bestellingen doen?? Hoe kun je in godsnaam bestellingen doen met je KPN account zonder te betalen? Ik vind het weer eens behoorlijk overdreven geschreeuw van de Telegraaf.quote:
Da tis ook te stom voor woorden. Dat is zo iets als je pinpas tegelijk met je pincode te verzenden.
En hoe spannender we hierover gaan doen, hoe meer mensen de neiging krijgen om ook iets verkeerd te doen met die gegevens...
Vreemd dat er nu nogsteeds over wordt gepraat idd.quote:
[..]
En hoe spannender we hierover gaan doen, hoe meer mensen de neiging krijgen om ook iets verkeerd te doen met die gegevens...
Je kunt met zo'n berief gewoon in de webmail van iemand komen en gewoon alle websites die een "password vergeten" functie hebben gebruiken. Zo kun je dus gewoon op sites die je klantgegevens opgeslagen hebben dingen gaan bestellen enzo. Volgens mij onderschat je gewoon hoe dom deze fout van KPN is.quote:
Je moet natuurlijk ook niet gaan doorslaan in je security.
Ik heb geen brief gehad...quote:
Ik had hem ook, lekker slim, om een password PLAIN in een brief te versturen, mijn post vind ik regelmatig geopend terug bovenop de brievenbus
Je buurman zit op je foto's te fappen en heeft net op jouw naam bij de Wehkamp een RealDoll besteld.quote:
Gebeurt vaker, klacht afgewezen.quote:
Ik had hem ook, lekker slim, om een password PLAIN in een brief te versturen, mijn post vind ik regelmatig geopend terug bovenop de brievenbus
Nee, wat hooguit gebeurd is dat er een genegereerd password verstuurt word, hoe het zou moeten:quote:
[..]
Gebeurt vaker, klacht afgewezen.
-User kiest een password zelf
-Bedrijf genereert een activatie code en stuurt deze per post.
-User gebruikt activiatie code om zijn account te valideren.
Ik denk juist dat jij het wat overschat. Het gebeurt echt zo vaak en niet één keer is het een probleem geweest, maar omdat iedereen nu in de nek van KPN staat hijgen, maken ze van elke mug een olifant.quote:
[..]
Je kunt met zo'n berief gewoon in de webmail van iemand komen en gewoon alle websites die een "password vergeten" functie hebben gebruiken. Zo kun je dus gewoon op sites die je klantgegevens opgeslagen hebben dingen gaan bestellen enzo. Volgens mij onderschat je gewoon hoe dom deze fout van KPN is.
Het gaat erom dat we het hier niet over een lullig bedrijfje hebben maar over 1 van de grootste bedrijven van Nederland, die op dit moment ook nog eens geauthoriseerd is tot het uitgeven van Security Certificitaten, daar mag je een wat hogere kwaliteit van verwachten dan op dit moment word aangeboden.quote:
[..]
Ik denk juist dat jij het wat overschat. Het gebeurt echt zo vaak en niet één keer is het een probleem geweest, maar omdat iedereen nu in de nek van KPN staat hijgen, maken ze van elke mug een olifant.
Dit is geen mug, dat is het punt. Misschien is het niet misgegaan nee, weet jij het? Als hier geen "olifant" van gemaakt was, had KPN uberhaupt de fout niet gecorrigeerd! Het is gewoon een extreem domme fout en geeft pijnlijk goed weer wat het klimaat bij KPN is als het op veiligheid aankomt.quote:
Ik denk juist dat jij het wat overschat. Het gebeurt echt zo vaak en niet één keer is het een probleem geweest, maar omdat iedereen nu in de nek van KPN staat hijgen, maken ze van elke mug een olifant.
Ja, bijvoorbeeld.quote:
[..]
Nee, wat hooguit gebeurd is dat er een genegereerd password verstuurt word, hoe het zou moeten:
-User kiest een password zelf
-Bedrijf genereert een activatie code en stuurt deze per post.
-User gebruikt activiatie code om zijn account te valideren.
Uitstekende post.quote:
[..]
Het gaat erom dat we het hier niet over een lullig bedrijfje hebben maar over 1 van de grootste bedrijven van Nederland, die op dit moment ook nog eens geauthoriseerd is tot het uitgeven van Security Certificitaten, daar mag je een wat hogere kwaliteit van verwachten dan op dit moment word aangeboden.
KPN is het hart van de Nederlandse digitale infrastructuur.
Moet je die klantenservice van KPN eens zien;
laaggeschoolde mensen die moeten werken onder tijdsdruk en die slecht worden betaald,
Hopeloos geval van disrespect voor de klant.
Je hebt blijkbaar heel weinig ervaring met emails en internettransacties.quote:
[..]
Je moet natuurlijk ook niet gaan doorslaan in je security. Dit is een nieuw gegenereerd wachtwoord dat niet voor andere dingen gebruikt wordt. Het staat je vrij dit te wijzigen. Het gaat alleen om een internetconnectie. Het schreeuwerige taalgebruik van de Telegraaf stoort me weer. "en kon nu zo in de KPN gegevens van anderen kijken", dus als toevallig van één persoon een verkeerde brief net op die dag bij jou terecht komt, jij die open maakt (die is niet voor jou bedoeld, dus gewoon even bij het juiste adres afleveren of retour afzender), dan zul je hooguit van 1 persoon de gegevens zien. Ze doen nu alsof ze je een database hebben gestuurd met de accountgegevens. En bestellingen doen?? Hoe kun je in godsnaam bestellingen doen met je KPN account zonder te betalen? Ik vind het weer eens behoorlijk overdreven geschreeuw van de Telegraaf.
En hoe spannender we hierover gaan doen, hoe meer mensen de neiging krijgen om ook iets verkeerd te doen met die gegevens...
Heel veel transacties gebeuren m.b.v. inlogcodes die per email worden verstuurd.
Idd.quote:
[..]
Dit is geen mug, dat is het punt. Misschien is het niet misgegaan nee, weet jij het? Als hier geen "olifant" van gemaakt was, had KPN uberhaupt de fout niet gecorrigeerd! Het is gewoon een extreem domme fout en geeft pijnlijk goed weer wat het klimaat bij KPN is als het op veiligheid aankomt.
Niet alleen veiligheid,
Ook klantvriendelijkheid.
Ik had ze vorige week nog gewaarschuwd en hen op het hart gedrukt voor dit gigantische risico om email adressen met passwords in 1 brief te versturen.
Deze "service" per post van KPN, beschouwen experts eigenlijk als nog dommer en nog kwalijker dan de aanpak van de kwetsbaarheid na een hack.
Maar ach, die KPN-medewerkers (inclusief directie en consultants) interesseerde het niet.
als externe kan je er weinig tegen doen.
ONVOORSTELBAAR,
dat dit in Nederland anno 2012, in de moderne tijd van telebankieren en DIGID zomaar kan.
het zegt ook veel over het niveau en de kracht van de toezichthouder OPTA
[ Bericht 0% gewijzigd door Bankfurt op 17-02-2012 18:06:05 ]
Treurige Alberto Stegeman figuur ben jij zeg, het erge is nog dat je het nog meent ook. Vol met aannames en weinig baseren op feiten. De illusie dat je denkt dat KPN het proces van een plain wachtwoord versturen in brieven gaat veranderen omdat een of andere clown dat telefonisch aanraadt is vreemd. Tevens moet dit gewoon kunnen, ik ben helemaal niet tegen wachtwoorden in brieven versturen, dit gaat tevens al hele lang tijd zo. Creditcards worden ook gewoon per brief gestuurd hoor.quote:
[..]
Idd.
Niet alleen veiligheid,
Ook klantvriendelijkheid.
Ik had ze vorige week nog gewaarschuwd en hen op het hart gedrukt voor dit gigantische risico om email adressen met passwords in 1 brief te versturen.
Deze "service" per post van KPN, beschouwen experts eigenlijk als nog dommer en nog kwalijker dan de aanpak van de kwetsbaarheid na een hack.
Maar ach, die KPN-medewerkers (inclusief directie en consulants) interesseerde het niet.
als externe kan je er weinig tegen doen.
ONVOORSTELBAAR,
dat dit in Nederland anno 2012, in de moderne tijd van telebankieren en DIGID zomaar kan.
het zegt ook veel over het niveau en de kracht van de toezichthouder OPTA
ja, ik meen dat; zoiets heet "professionaliteit". Iets waar ze bij KPN lak aan hebben.quote:
[..]
Treurige Alberto Stegeman figuur ben jij zeg, het erge is nog dat je het nog meent ook. Vol met aannames en weinig baseren op feiten. De illusie dat je denkt dat KPN het proces van een plain wachtwoord versturen in brieven gaat veranderen omdat een of andere clown dat telefonisch aanraadt is vreemd.
quote:Tevens moet dit gewoon kunnen, ik ben helemaal niet tegen wachtwoorden in brieven versturen, dit gaat tevens al hele lang tijd zo. Creditcards worden ook gewoon per brief gestuurd hoor.
Gelukkig zijn er ook nog iets slimmere mensen op dit forum dan bblaaa8,
mensen als Raptorix en Catbert bijvoorbeeld
Aangetekend ja, tenzijn je bij een prutsbank zit.quote:
Treurige Alberto Stegeman figuur ben jij zeg, het erge is nog dat je het nog meent ook. Vol met aannames en weinig baseren op feiten. De illusie dat je denkt dat KPN het proces van een plain wachtwoord versturen in brieven gaat veranderen omdat een of andere clown dat telefonisch aanraadt is vreemd. Tevens moet dit gewoon kunnen, ik ben helemaal niet tegen wachtwoorden in brieven versturen, dit gaat tevens al hele lang tijd zo. Creditcards worden ook gewoon per brief gestuurd hoor.
Bij de banken zijn de procedures veel veiliger.quote:
Ik kan me herinneren dat mijn wachtwoord voor ING internetbankieren ook gewoon met de post is meegekomen. Was zo'n speciale brief waar precies op de andere kant van het papier waar het wachtwoord stond er een soort patroontje stond geprint waardoor je niet van de achterkant zeg maar door de brief heen kon kijken. Die brief was overigens niet aangetekend verstuurd.
Er zijn aparte brieven voor de pasjes, en soms moet je een pasje zelf komen afhalen met legitimatie, nadat je een uitnodigingsbrief hebt ontvangen.
Een CC bij de ABN wordt gewoon per normale post verstuurd, een witte envelop met niks erop. Dat de procedure bij een bank veilig is dan bij een telecomprovider lijkt me logisch. Maarja een paar mensen in dit topic willen altijd wat te janken hebben. Ik snap sowieso niet zo wat je te klagen hebt als je niet bij KPN zit, als je er wel bij zit dan stap je toch gewoon over? Ik denk alleen dat je teleurgesteld zal worden in het feit dat het bij andere aanbieders niet veel anders zal zijn. Dit betekent niet dat slechte beveiliging geaccepteerd moet worden, maar dat je je niet blind moet staren op de problemen bij KPN.quote:
[..]
Bij de banken zijn de procedures veel veiliger.
Er zijn aparte brieven voor de pasjes, en soms moet je een pasje zelf komen afhalen met legitimatie, nadat je een uitnodigingsbrief hebt ontvangen.
Ik ben allang weg bij KPN, maar sommmige mensen niet en die probeerde ik te helpen;quote:
[..]
Een CC bij de ABN wordt gewoon per normale post verstuurd, een witte envelop met niks erop. Dat de procedure bij een bank veilig is dan bij een telecomprovider lijkt me logisch. Maarja een paar mensen in dit topic willen altijd wat te janken hebben. Ik snap sowieso niet zo wat je te klagen hebt als je niet bij KPN zit, als je er wel bij zit dan stap je toch gewoon over?
ouden van dagen snappen er bijvoobeeld al helemaal niets meer van.
KPN is een goed indicatie voor hoe het er werkelijk aan toegaat bij andere Nederlandse bedrijven die het moeten hebben van service.quote:Ik denk alleen dat je teleurgesteld zal worden in het feit dat het bij andere aanbieders niet veel anders zal zijn. Dit betekent niet dat slechte beveiliging geaccepteerd moet worden, maar dat je je niet blind moet staren op de problemen bij KPN.
KPN is jarenlang verwaarloosd, ja wat wil je met zo'n ex-baas Ad Scheepbouwer die zijn zakken heeft gevuld met bonussen en opties.
http://managementscope.nl/manager/ad-scheepbouwer
http://www.quotenet.nl/ni(...)-organisatie-kpn.php
Doe normaal man, we reageren gewoon in een nieuwstopic en dat een dergelijk bedrijf z'n beveiliging zo slecht op orde heeft, is gewoon nieuwswaardig.quote:
Een CC bij de ABN wordt gewoon per normale post verstuurd, een witte envelop met niks erop. Dat de procedure bij een bank veilig is dan bij een telecomprovider lijkt me logisch. Maarja een paar mensen in dit topic willen altijd wat te janken hebben.
Wat een onzin, ICS Cards stuurt de Visa kaarten ook per normale post.quote:
[..]
Aangetekend ja, tenzijn je bij een prutsbank zit.
Waarom zou dat onveilig zijn?
Ditquote:
[..]
Wat een onzin, ICS Cards stuurt de Visa kaarten ook per normale post.
Waarom zou dat onveilig zijn?
