Was ik maar net zo snel geweest.
Ik las het wel van je, maar reageerde pas veel later.
En nu maar wachten. Verd.........

Ben al jaren actief informatiebeveiliger. Vanmiddag bedacht ik me het volgende.

Stel er maakt iemand met vrij weinig middelen mijn voordeur kapot en loopt in mijn huis rond. Dan zal iedereen zeggen dat die persoon een overtreding begaat, misschien wel een misdaad. Anderen zullen zeggen dat ik een sterkere voordeur had moeten hebben.

Nu doe ik dat; ik maak mijn huis redelijk 'secure' en nog breekt er iemand in. Schande! zullen velen zeggen.

Maar doet een hacker zoiets bij een bedrijf als KPN dan zijn er velen boos (en misschien terecht) op KPN en de hackers zeggen direct dat ze niets kwaad in de zin hadden maar alleen wilden aantonen dat.... bladibladibla... altijd hetzelfde verhaal.

Die inbreker in mijn huis komt toch niet weg met de opmerking dat hij alleen maar wilde laten zien dat mijn voordeur zwak was. Merkwaardig dan toch?

KPN zal ongetwijfeld van alles aan security doen. Maar er is dus klaarblijkelijk een zwakte geweest, net als bij mijn voordeur.

Hoever gaan we nu eigenlijk met deze digitale nonsens? Van mijn huis maak ik geen Fort Knox. Misschien dom; want iemand kan met een vrachtwagen explosieven aantonen dat mijn huis daar niet tegen bestand is. Die strijd win ik nooit.

KPN doet van alles aan beveiliging... en toch gehackt.

Ik worstel hier wel mee... de laatste tijd lijkt de macht geheel bij de hackers te liggen en wijst iedereen met de vinger naar de bedrijven. De hacker is 'heilig'... maar de inbreker in mijn huis vindt iedereen een boef. Merkwaardig.

tja daar zit je dan geen e-mail terwijl je belangrijke mails verwacht wat zouden ze doen als je gb's vol zijn dus je email box volzit

Waar heb je dat gelezen van die 5 jaar? Lijkt me pertinente nonsens want geen ICT systeem tegenwoordig leeft zo lang :-)

En ik heb niet lang geleden demo's gezien van bijzonder knappe jongens die in 1 van de sterkst beveiligde omgeving dingen konden doen die ik nooit voor mogelijk heb gehouden... be afraid, very afraid.

Maar jammer dat je mijn post quote maar er totaal niet op in gaat :-(

@Slart: KPN had gewoon eerlijk open kaart moeten spelen in plaats van:

"Tot twee keer toe beweerde KPN dat er geen klantgegevens waren gestolen. Ondanks dat de server met de gegevens wel gecompromitteerd was, besloot het telecombedrijf de wachtwoorden van klanten niet preventief te wijzigen."

Dan had de 'hacker' ook niets hoeven te publiceren. Zie het zo: jij bent informatiebeveiliger bij een kluis. Je ziet dat de deur een keer is open geweest. Je weet niet precies wat er in de kluisjes zit, maar het lijkt er op dat ze niet zijn opengeweest. Vervolgens ga jij roepen tot 2x toe: beste mensen jullie hoeven je geen zorgen te maken. Dat is fout! Iedereen zou namelijk denken: ah ok - business as usual, terwijl onderwijl de hackers stiekem wel de toegangscodes in de kluisjes hadden gekopieerd en vervolgens vanalles konden doen, terwijl de huurders dachten: de codes zijn nog veilig, de deur is opengeweest maar niemand heeft de kluisjes opengemaakt...

Als KPN niet 2x toe hard glas had ontkend, maar iets had gezegd als: "we kunnen het niet garanderen - verander daarom je wachtwoord" had de hacker (a) niks hoeven publiceren en (b) zelfs als hij dat had gedaan dan was er geen ramp geweest omdat de meeste wachtwoorden waren veranderd.

Jij mag dan wel informatiebeveiliger zijn geweest, maar van communicatie en customer relations heb jij geen koek gegeten.

Met dit soort vergelijkingen moet je oppassen, want dit gaat niet altijd zo op als in de echte wereld.
Als we jou huis vervangen voor een bank waar miljoenen zijn opgeslagen en je beveiligt dit alleen met een deur en een slot en deze deur is benaderbaar vanaf de straat, is er dan nog steeds helemaal geen schuld bij de bankier?

Bij jou huis gaat het om jou eigendommen, maar bij KPN gaat het over miljoenen gebruikers. Als je zoveel gegevens opslaat moeten mensen erin kunnen vertrouwen dat deze fatsoenlijk beveiligt worden.

Beste mensen,

Denk eens na!

In dit geval heeft vaak niet eens zin om een ander wachtwoord per site te gebruiken.
Veel sites kennen een 'wachtwoord vergeten' optie bij het inloggen, waarbij een nieuw wachtwoord wordt verstuurd naar je opgegeven e-mailadres. Als kpnmail.nl je hoofdemailadres is, kunnen ze vaak ook je wachtwoord op andere sites dus achterhalen - ook al is die anders......via de 'stuur me een nieuw wachtwoord' optie die meestal aanwezig is.

Beste mensen,

Denk eens na!

In dit geval heeft vaak niet eens zin om een ander wachtwoord per site te gebruiken.
Veel sites kennen een 'wachtwoord vergeten' optie bij het inloggen, waarbij een nieuw wachtwoord wordt verstuurd naar je opgegeven e-mailadres. Als kpnmail.nl je hoofdemailadres is, kunnen ze vaak ook je wachtwoord op andere sites dus achterhalen - ook al is die anders......via de 'stuur me een nieuw wachtwoord' optie die meestal aanwezig is.

@anoniem 22:20

"Jij mag dan wel informatiebeveiliger zijn geweest, maar van communicatie en customer relations heb jij geen koek gegeten."

Je hoeft niet direct lelijke dingen te zeggen hoor... beetje onvolwassen. Wat weet jij nou van mij? Niets toch? Waarom dan schelden?

Maar goed, OT dan maar...

@NumesSanguis

Natuurlijk gaat de vergelijking mank. Er bekruipt mij alleen de laatste tijd zo'n enorm gevoel van onmacht waarbij per definitie de organisatie die het slachtoffer is van een hack direct in de beklaagdenbank komt.

Voorbeeld. Ik ben betrokken bij een klant die een HP product gebruikt met een recent ontdekte vulnerability. Die hebben we dus gepatcht, met dank aan de TippingPoint doos die we gebruiken. Maar als nu tussen het moment van het ontdekken van die vulnerability en het pattern voor TippingPoint deze organisatie gehackt wordt? En er is verlies van veel privacy gevoelige data? En het staat direct op security.nl? Ik zie de scheldkanonnades op geenstijl.nl al voor me. Voordat je ook maar iets kan toelichten ben je als organisatie al de pineut.

De hack bij KPN is wellicht wel aan slecht patch/vulnerability management te wijten maar kan ook een geheel andere reden hebben... maar voordat wie dan ook (in dit geval dus Fox-IT) forensic onderzoek afgerond heeft naar de oorzaak, schreeuwt iedereeen al moord en brand. Het bedrijf moet maar failliet en zo, diginotar achterna (150 man op straat). Stuit me toch erg tegen de borst maar goed... wellicht sta ik hier tegenwoording in alleen. En is stuk maken de nationale hobby geworden.

Ja? En? Mijn notebook is ook jaren oud maar goed gepatcht en achter een goede firewall... etc.

Een oudere SunOS versie dus... niet erg spannend... en bovendien ontbreekt elke vorm van informatie dat het juist deze server was die zeg maar de weg tot de holy grail vrij maakte.

Speculeren is leuk maar lijdt soms tot verlies...

Beste mensen,

In dit geval heeft vaak niet eens zin om een ander wachtwoord per site te gebruiken.

Veel sites kennen een 'wachtwoord vergeten' optie bij het inloggen, waarbij een nieuw wachtwoord wordt verstuurd naar je opgegeven e-mailadres. Als kpnmail.nl je hoofdemailadres is, kunnen ze vaak ook je wachtwoord op andere sites dus achterhalen - ook al is die anders......via de 'stuur me een nieuw wachtwoord' optie die meestal aanwezig is.

@Waterman,

Bingo... je hebt juist ontdekt waarom de email omgevingen van KPN offline zijn.

En dan wil de belastingdienst nog steeds de post vervangen dor e-mail?

@Peter V.

Ja; iedereen speculeert nu. En dat is niet goed. En er zijn 'lekken' gevonden zeg je. Lees mijn post eens door... ik schets het verhaal van mijn klant... HP DataProtector met een lek. Dat hem en de leverancier niet bekend was. Ben je dan schuldig? Gaat Peter V. dan zeggen dat je had moeten patchen? Vooralsnog weten we niets. We weten niet eens of de criminelen (inbreken op deze wijze is in NL nog steeds strafbaar, vandaar de aangifte bij het OM) wel de waarheid verkondigen... ook zoiets; hackers spreken altijd de waarheid, het slachtoffer wordt vaak beticht van liegen. Rare omdraaing van de feiten. In de echte (?)juridische wereld luisteren we naar het verhaal van het slachtoffer en proberen dan een dader te vinden. Bij hacking luisteren we naar de dader en interesseert ons het verhaal van het slachtoffer niet. Dat slachtoffer is per definitie fout en moet maar aan de schandpaal.

En ik vind dat raar. Heel raar. In toenemende mate. Terwijl ik toch (vele :-) jaren geleden ook wel een (ge)hack(t)je lustte... ISDN hacken voor gratis bellen e.d.

Jij bent ook 1 van die mensen die direct naar KPN wijst als schuldige partij. Hoe weet je dat nou? Niet eerst de feiten afwachten? Misschien was die Sun server die jij noemde wel in beheer bij een ander bijvoorbeeld.

Punt is natuurlijk wel dat we het rapport van Fox-IT in dit geval niet in kunnen gaan zien denk ik. Jammer; we zouden er wat van kunnen leren.

@slartibartfast,
Daar heb je wel een punt, de laatste tijd zit iedereen er meteen helemaal bovenop. Ik denk nog wel dat dit gaat matigen, want de trend was dat security ondergeschikt was aan de rest van de processen en nu dit ineens heel hard naar voren komt doordat grootschalige projecten als de ov faalden. Maar net als bij alle hypes wordt er ineens heel veel aandacht aan besteed en dan wordt er ineens heel veel geld en tijd ingestoken en naderhand matigt dit weer en staat hopelijk security op een hogere rang van belangrijkheid bij producten.

Aan jou antwoorden te lezen vermoed ik dat jij een baan in iets met security hebt, dus hopelijk pakt deze trend goed uit en wordt je werk meer gewaardeerd.

Als je een echte informatiebeveiliger bent, dan weet je dat de eindverantwoordelijkheid nog steeds bij KPN ligt. Dus er is geen excuus.

"Dan had de 'hacker' ook niets hoeven te publiceren"

Onzin, de hacker had niet moeten inbreken, en er is ook geen enkele reden waarom hij zou moeten publiceren. Het zijn gewoon strafbare feiten die hij pleegt. Dat KPN de systemen beter moet beveiligen, en dat woordvoerders geen leugens moeten verkondigen, doet daar niets aan af.

Hè gasten, volgens mij vergeten jullie nu wel een heel belangrijk ding!
Als je dan zo knap het systeem van KPN in en uit kan, zonder dat KPN dat heeft opgemerkt (in eerste instantie) en je steelt al deze klant info om aan te tonen dat het systeem van KPN niet deugd, waarom dan al die gegevens openbaar maken?

Het is toch volstrekt overbodig om het openbaar te publiceren op een site???? Loop dan gewoon even binnen bij KPN!

In iedergeval 1 ding wat ze fout hebben gedaan bij KPN, wachtwoorden opslaan in plain tekst.
Elke behoorlijke provider doet zoiets niet.
Zelfs op mijn eigen kleine website zijn mijn gebruikers beter beveiligd hierdoor.

Misschien een goeie stok achter de deur. KPN zal pas z'n systemen gaan updaten als er echt stront aan de knikker is. Anders kiezen ze misschien weer voor de makkelijkste weg.

Natuurlijk, maar de vraag blijft of er dan verwijtbaar gedrag is. Je kunt wel verantwoordelijk zijn voor iets maar dat betekent nog steeds niet dat je schuldig bent. En dat wordt altijd met elkaar verward. KPN zal ongetwijfeld de verantwoordelijkheid accepteren maar verwijtbaar gedrag is wat anders. Zie mijn genoemde voorbeeld bij mijn klant met een kwetsbaarheid in HP DataProtector. Gaat dat fout, is mijn klant dan verantwoordelijk? Ja. Schuldig? Nee. Je kunt in het NL rechtsstelsel niet schuldig zijn voor iets wat je niet wist.

En ik vermoed sterk dat KPN niet wist dat deze server(s) kwetsbaar waren. Ik kom dat veel tegen; onbewust onbekwaam. Niet goed maar wel een feit. Veel security specialisten denken vanuit hun eigen denkraam en dat is niet crimineel. Om hackers te begrijpen moet je echter anders denken. Soms dus criminieel. En dat kunnen white-hatters niet.

Onbewust onbekwamen in onze maatschappij beschermen we aan alle kanten. Rechtspersonen die dit zijn worden direct aan de schandpaal genageld. Ligt het nou aan mij dat ik dat merkwaardig vind? Waarom denken we automatisch dat een bedrijf alles op orde zal hebben? Ik loop soms ook hoofdschuddend rond bij gerenommeerde firma's :-) het is niet anders.

Nog een kleintje in het hoenderhok... diezelfde consumenten die nu moord en brand schreeuwen hebben niet meer over voor een internet verbinding met email en homepage dan twee tientjes per maand. Zou de kwaliteit van de dienstverlening (lees ook informatiebeveiliging) beter zijn als we meer geld ervoor zouden hebben? (Vooropgesteld dat dat geld niet als bonus verdwijnt in de zakken van het management.) Is de informatiebeveiliging bijvoorbeeld bij een provider zoals BT beter?

@slartibartfast:
Het gaat hier ook om verantwoordelijkheid, iets wat KPN en de meeste corporations niet nemen in zo'n geval. Minachting voor de klant, terwijl de reclameteksten bol staan van de superlatieven over security, service, etc.
Als je zo vol van jezelf bent als bedriijf, neem dan ook je verlies wanneer er gebleken is dat je de plank gruwelijk misgeslagen hebt. Maar nee, downplayen en liegen.
Ja, het is verwijtbaar gedrag; ten eerste je zaken niet op orde hebben en ten tweede je eronderuit proberen te liegen.
Dan mag je van mij betreft snoeihard aan de schandpaal. Tevens een signaal naar de conculega's.

Maar wel voor wat je had kunnen weten. In het geval van een outsourcing zul je de service provider moeten (laten) auditten.
Is kennelijk niet of niet goed gebeurd en dat is en blijft de verantwoordelijkheid van KPN.

Nee, zij maken gebruik van de wet van de grote getallen: omdat KPN zo groot is, kan het voor een paar tientjes

Kop, spijker, raak. 2x.

@Mozes.Kriebel;

Harde woorden; minachting voor de klant, downplayen, liegen, verwijtbaar gedrag, schandpaal... terwijl je net als ik de feiten niet kent. In het algemeen geldt in NL dat je onschuldig bent zolang het tegendeel niet bewezen is. En niemand - naar het lijkt zelfs KPN (!) niet gezien de eerdere meningen dat geen data gedownload was - kent op dit moment de feiten. Jouw mening is nu net datgene wat ik probeer te betogen... waar komt toch die algemene hetze vandaan als een bedrijf dit overkomt? Waarom kiezen velen direct voor de dader en niet voor het slachtoffer?

Pas als mocht blijken - uit de feiten dus - dat hier nalatigheid, onbehoorlijk bestuur e.d. aan de orde is dan dienen de verantwoordelijken op het matje geroepen te worden. Niet eerder. Ik schrik van de reacties die ik hier en daar lees. Nog altijd, of je het nou leuk vind of niet, is KPN een belangrijke spin in het NL communicatienetwerk. En dat moet dan maar even failliet gaan hoor ik hier en daar. Belachelijk.

Kenmerkend van crisis-situaties zoals dit is dat iedereen direct een mening heeft terwijl de organisatie in kwestie vermoedelijk niet beschikt over de juiste informatie op dat moment. Jij zegt dat ze hebben gelogen. Ik zeg dat ze misschien op dat moment niet over de juiste informatie beschikten. Forensics kost helaas veel tijd omdat je het juridisch verantwoord moet aanpakken. En ik vermoed dat het OM en Fox-IT aangestuurd hebben op enige tijd monitoren in plaats van afkappen... en dan zul je even de waarheid misschien moeten stretchen om de daders niet onder te laten duiken.

Mijn voorspelling: KPN zal dit overleven. De hackers worden gepakt en krijgen een taakstraf.

Het slachtoffer is nog altijd de eindgebruiker die niet van zijn mailbox gebruik kan maken.
Ik zeg niet dat KPN failliet moet gaan, maar wel z'n plaats weer moet kennen. Dienstverlenend aan zijn gebruikers. Daar betalen zij voor.
We vormen beide een mening, ondanks dat we de feiten wellicht niet kennen (alhoewel; ik weet niet wat jij weet en jij weet niet wat ik weet), maar de bovenstaande discussie is meer een principiële. Het gaat hier om verantwoordelijkheden: de gebruiker geeft deze in goed vertrouwen aan KPN en moet vervolgens z'n eigen wachtwoord op pastebin lezen. Afgezien van de feiten die jij meent niet te kennen, is dit wel een onweerlegbaar feit. En is en blijft onacceptabel.

En dan nog wat, om even terug te komen op de "minachting van de klant": ik heb zelf 2 mailboxen bij KPN (waar ik nog steeds niet bij kan), waarvoor ik vorig jaar ineens een prijsverhoging van 100% kreeg. Zomaar, omdat het kan.
Dat sluit naadloos aan bij de lange reeks schofferingen (zoals DPI), wanpprestaties, etc. En dat steekt. Bij mij en vele anderen. En als je dan schrikt van de harde woorden op diverse fora, dan werk je òf voor KPN òf je leeft onder een steen.
Sorry voor de ad hominem, evengoed een prettig weekend.

@Mozes.Kriebel,

Pfff... nee ik werk niet voor KPN, werk al jaren voor mezelf, loonslaaf dat heb ik wel gehad. Nooit meer.
Heb wel in het verleden security klussen bij KPN gedaan. En nee; ik leef niet onder een steen. Sta vol in het leven :-), begrijp je opmerking dus niet. Omdat jij en anderen niet tevreden zijn over het prijsbeleid en ik schrik van sommige reacties leef ik onder een steen? Sorry; ik mis het verband even. Dat je gefrustreerd bent over KPN, soit. Maar leef je dan niet uit op mij.

Ook een goed weekend gewenst. Hoop dat je in de loop van de dag weer bij je email kunt. Enne... er zijn meer aanbieders van email services hoor. Dus niet tevreden bij KPN, kijk dan eens rond zou ik zeggen... ben al 15 jaar klant bij (o.a.) euronet, perfect.

Mijn mail doet weer, maar ik kom nog steeds niet op mijn homepage

Dat bedoel ik dus:

---

Gelekte e-mailgegevens niet van KPN

Laatste update: 11 februari 2012 18:59 info

AMSTERDAM – De lijst met persoonsgegevens die vrijdag op internet verscheen is niet afkomstig van het mailsysteem van KPN, maar van een compleet andere database.

Het gaat om de klanten van een verkoper in babymaterialen, blijkt uit onderzoek van NU.nl.

---

Soms zijn de feiten anders dan dat wat de boe roepers direct rondbazuinen...

Onderzoek van NU.nl?? HetOM en FoxIT is er mee bezig en NU.nl weet te vertellen hoe het zit?
Men heeft 3 dagen de tijd gehad om met deze escape te komen. Mooie decoy voor het feit dat KPN gehackt is.
Ignorance is bliss.

Soms zijn de feiten anders dan dat wat de media rondbazuinen...

Verdomme nog aan toe, een paar dagen geen mailadres... het lukt mij gewoon niet die wachtwoord te veranderen, via de KPN winkel een belafspraak aangevraagd en NU nog niet eens gebeld, vind dit ook niet echt service... maar...???
En veel van mijn contraten zijn elders NU, maar niet bij mij... pff..
Groetjes ....