image

Planet lekt persoonsgegevens alle abonnees *update*

maandag 14 januari 2008, 14:51 door Redactie, 24 reacties

Internetprovider Planet heeft door een tikfout alle persoonsgegevens van haar abonnees op het internet gelekt, en besloot pas na twee weken maatregelen te nemen. Door een tikfout belandde een backup van de klantgegevens in de webruimte van een abonnee, die bijna dezelfde naam als de systeembeheerder had die de backup uitvoerde. Het gaat om zo'n 2,5 miljoen klantnummers, e-mailadressen, aliassen en versleutelde wachtwoorden van particuliere en zakelijke Planet-klanten.

Wat voor hashing algoritme Planet gebruikt is niet bekend, maar de klant die alle abonneesgegevens ontving kan dit aan de hand van zijn eigen wachtwoord en hash en het programma hashmaster achterhalen.

Ondanks het inlichten van de provider reageerde die niet op de ontdekking, waardoor de klant zich genoodzaakt zag het in de openbaarheid te brengen. De ISP heeft nu de backup routine verboden en noemt het fout en stom dat het heeft kunnen gebeuren. KPN zal de klant vragen of hij de backup wil verwijderen.

Update 15:43
We hebben zelf ook een woordvoerster van KPN gesproken, omdat het toch zeer schokkend te noemen is dat een professionele organisatie op zo'n manier met klantgegevens omgaat. Volgens woordvoerster Eke Wolters moest de systeembeheerder een backup maken en gebruikte hij hiervoor de webspace van de provider, waarbij het dus misging. Opmerkelijk is dat dit helemaal geen standaard procedure is en de beheerder uit zichzelf handelde. Het is ook nooit eerder voorgekomen en nu toevallig ontdekt, aldus Wolters, die benadrukt dat het echt een eenmalige actie betreft.

De KPN is niet van plan om al haar klanten in te lichten, omdat de wachtwoorden versleuteld zijn, en het daarom niet noodzakelijk is dit te doen. Wel gaat de provider in de vorm van nazorg de afdeling die door de Planet klant werd gewaarschuwd nogmaals aansporen om dit soort meldingen direct door te sturen naar het security team van de provider.

Reacties (24)
14-01-2008, 15:04 door Anoniem
Daar is duidelijk iets met de authorization.......
Zeker allemaal in de group root.....of administrator hihi

Scheiding van taken en werkzaamheden is natuurlijk daar een
rommeltje. Of de systeembeheerder maakt OOK websites en doet
de administratie of andersom..hahahaha

Hewt zal wel een hele kleine organisatie zijn ;)
14-01-2008, 15:36 door Anoniem
Oh zulke tikfouten maak ik ook regelmatig.

i.p.v. \server1backup gooi ik het ook op \server34ftpusers~pietjepuk

De letters zitten ook zo dicht bij elkaar he? ;-)
Prutsers! Wilde de admin misschien de gevens stiekem verhandelen?? Ik
snap namelijk niet waarom hij ze uberhaupt zou backuppen naar zijn eigen
webruimte.
14-01-2008, 15:36 door [Account Verwijderd]
[Verwijderd]
14-01-2008, 15:38 door e.r.
Bleh, echt slecht!
Zeker omdat ze pas na een erg lange tijd gereageerd hebben. (lees: pas
nadat het publiekelijk bekend geworden is)

Zal idd wel een rechten kwestie zijn, hehehe.
14-01-2008, 16:02 door spatieman
se someren wel de klantde backup te wissen.
maar een standpunt nemen doen ze niet.
dan gaat de backup in de p2p dir toe :)
14-01-2008, 16:03 door Anoniem
Lijkt me toch handig dat de abonnees dit weten en zelf kunnen bepalen of
ze hun wachtwoorden al dan niet veranderen.
Voor diegenen die ik ken met zo'n abonnement ga ik het wel aanraden en
waarschijnlijk (zelf) ook uitvoeren :(
14-01-2008, 16:17 door Anoniem
Een torrent van maken!!!!
14-01-2008, 16:27 door WhizzMan
"niet van plan om al haar klanten in te lichten, omdat de
wachtwoorden versleuteld zijn, en het daarom niet
noodzakelijk is dit te doen."

Hoe ongelofelijk dom en naief kan je zijn. Met rainbowtables
en een leuke wordlist is een behoorlijk percentage van deze
accounts in luttele uren te hacken.
14-01-2008, 16:29 door Anoniem
Een systeembeheerder gaat over de backup van het systeem in
casu...operating system.
Data van de klanten is een administrative kant en die zijn
zelf verantwoordelijk voor hun data.
IGaat er dan niemand meer naar een informatica opleiding
waar systeem management wordt onderwezen... Een systeem
beheerder hoeft niet overal bij dat bepaald een security
administrator.
Dit is toch geen midden en klein bedrijf maar een grote
organisatie.
14-01-2008, 16:29 door Anoniem
Door Anoniem
Oh zulke tikfouten maak ik ook regelmatig.

i.p.v. server1ackup gooi ik het ook op
server34tpusers~pietjepukr

De letters zitten ook zo dicht bij elkaar he? ;-)
Prutsers! Wilde de admin misschien de gevens stiekem
verhandelen?? Ik
snap namelijk niet waarom hij ze uberhaupt zou backuppen
naar zijn eigen
webruimte.

je hebt geen idee welke directories er gebruikt zijn, dus
zo'n reactie is volledig zinloos.
14-01-2008, 17:03 door sjonniev
"Opmerkelijk is dat dit helemaal geen standaard procedure is
en de beheerder uit zichzelf handelde."

Inderdaad uitzonderlijk. Een backupje voor eigen gebruik, of
gewoon omdat er helemaal geen procedure is?
14-01-2008, 17:31 door Anoniem
ze kunnen het bestand bij de klant zelf toch wel verwijderen?
14-01-2008, 18:12 door SirDice
De KPN is niet van plan om al haar klanten in te
lichten, omdat de wachtwoorden versleuteld zijn, en het
daarom niet noodzakelijk is dit te doen.
Zeker nooit van JohnTheRipper gehoord?
14-01-2008, 19:17 door Anoniem
Lekker zuinig! In plaats van een dure backup-server
verspreid je de backup over niet gebruikte www directory van
je klanten.

Tja kwaliteit kost geld, maar uiteindelijk is goedkoop toch
duurkoop!

Marcel
14-01-2008, 19:42 door Anoniem
[qoute]
Oh zulke tikfouten maak ik ook regelmatig.

i.p.v. \server1backup gooi ik het ook op \server34ftpusers~pietjepuk

De letters zitten ook zo dicht bij elkaar he? ;-)
Prutsers! Wilde de admin misschien de gevens stiekem verhandelen?? Ik
snap namelijk niet waarom hij ze uberhaupt zou backuppen naar zijn eigen
webruimte.
[/quote]
Zoals op andere nieuwssites te lezen is lijkt de naam van de klant wiens
webspace gebruikt is erg veel op de naam van de betreffende
systeembeheerder...
14-01-2008, 19:44 door Anoniem
op GoT was dit al een tijd bekend...
14-01-2008, 19:59 door Anoniem
Welke rechten had hij nodig om bij de betreffende data te komen en te
kunnen schrijven in een directory van een willekeurige klant?
14-01-2008, 21:13 door Anoniem
KPN gaat wel vaker zo met personen om. Wie kent niet het
voorval dat ze 'per ongeluk maar helaas pindakaas' niet 4
dagen maar 4 maanden aan telefoongegevens aan justitie had
gegeven. Omdat dat over een journalist ging stond de media
op de achterste benen en kwam KPN uiteindelijk met een
excuusmededeling. Helaas gaat het hier slechts om een paar
miljoen klantgegevens barstensvol met hoofdaccounts, dus
email gegevens, versleutelde wachtwoorden waar er
gegarandeerd een flink van binnen een uur te achterhalen
zijn, persoonlijke gegevens als dienstverleningvoorkeuren
enz. KPN gaat hier natuurlijk geen publiek melding van
maken, of zelfs maar de klanten informeren over hun fout en
de mogelijke gevolgen. Stel je toch eens voor dat je als
groot bedrijf een verantwoordelijkheid moet nemen. Voor mij
valt alleen zo'n houding al in de categorie zwaar te
straffen, naast nog gedaan moet worden aan het straffen voor
de kapitale fout om zo met persoonsgegevens om te gaan. Dat
mag van mij per klant bestraft worden, anders valt er in het
vervolg erg 'goedkoop' onder nonchalant gedrag uit te komen.
14-01-2008, 21:43 door SirDice
Door Anoniem
Welke rechten had hij nodig om bij de betreffende data te komen en te kunnen schrijven in een directory van een willekeurige klant?
sudo /blah/blah/backup -f /blah/blah/user/backupfile /dev/schijf of zoiets?
15-01-2008, 09:32 door Anoniem
Door Anoniem
Door Anoniem
Oh zulke tikfouten maak ik ook regelmatig.

i.p.v. server1ackup gooi ik het ook op
server34tpusers~pietjepuk

je hebt geen idee welke directories er gebruikt zijn, dus
zo'n reactie is volledig zinloos.

Een tikfout is als je een p typt in plaats van een o, een n
in plaats van een m, kortom: kleine foutjes. Het kan niet
zijn dat de backups gemaakt worden naar een directory die zo
dicht bij de homedirectories van de gebruikers ligt, dat één
enkele typefout al betekent dat je beveiliging
gecompromitteerd wordt... Dus ja, de reactie is terecht.
15-01-2008, 10:59 door Anoniem
Waarom een backup maken op dezelfde server? Wij gebruiken
Online Backup van PerfectBackup waarbij de gegevens gewoon
dagelijks gecodeerd offsite worden bewaard. Je zult dan
nooit dit soort fouten kunnen maken. Heel vreemd dat zo'n
organisatie zulke grove fouten maakt! Dat Planet niet de
eigen software van Kpn Back-up online gebruikt zegt dus
blijkbaar al genoeg...
15-01-2008, 12:48 door Anoniem
Door Anoniem
ze kunnen het bestand bij de klant zelf toch wel verwijderen?
Op de computer van de klant? Lijkt me een strafbaar feit.
16-01-2008, 21:17 door Anoniem
Wat een ongeloofelijke blunder. Schandalig eigenlijk.

De betreffende persoon heeft bij zo'n blunder echt een
ontslag verdient of een flinke degradatie.
20-01-2008, 01:37 door Anoniem
Misschien was het geen tik fout, maar misschien zijn ze wel gewoon
gehackt.. Maarja dan voelen de klanten zich al helemaal onveilig, kan je
beter zeggen dat het een tikfout was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.