Trouw: publiceren uit onbeveiligde KPN-laptop dient publiek belang
De afgelopen weken heeft dagblad Trouw informatie gepubliceerd afkomstig van een onbeveiligde KPN-laptop en dat is vanwege het publiek belang toegestaan, zo laat de krant zelf weten. Een door KPN ingehuurde monteur liet een onbeveiligde laptop met gevoelige informatie achter bij een klant. De machine werd vervolgens niet opgehaald, omdat de monteur niet meer wist waar hij die had achtergelaten. De klant bracht de laptop naar Trouw.
Inloggegevens van allerlei bedrijfswebsites waren in de browser van de laptop bewaard. Via deze gegevens was het mogelijk om toegang tot het intranet TeamKPN te krijgen. Het gebruik van tweefactorauthenticatie bleek niet nodig. Via het intranet kon Trouw allerlei vertrouwelijke documenten inzien, zoals organisatieschema's met verwijzingen naar de AIVD, het ministerie van Defensie en het Koninklijk Huis.
Met de informatie die Trouw via de laptop verkreeg werden in totaal drie verhalen gepubliceerd. Eén over de vergeten laptop, een tweede verhaal over een door KPN ontwikkelde app voor Chinese toeristen die daarmee zijn te volgen en een derde verhaal over hoe KPN de aanleg van glasvezelkabel door concurrenten frustreerde. De laptop is inmiddels aan KPN teruggegeven. Daarnaast hebben de krant en telecomprovider morgen overleg over de situatie.
Ict-advocaat Noud van Gemert laat aan het AD weten dat de kans groot is dat Trouw computervredebreuk heeft gepleegd. "Je krijgt een laptop waar je niet in hoort, er is enige mate van beveiliging en het betreft overduidelijk geen openbare info." De twee uitzonderingen op deze regel gaan volgens Van Gemert niet op. "De ene is noodtoestand of psychische overmacht. Journalistieke nieuwsgierigheid valt hier niet onder." De advocaat stelt dat KPN een sterke zaak heeft. "Als ze aangifte zouden doen en de journalist bij mij aanklopt, zou ik vertellen dat dit een lastige zaak om te verdedigen is."
Voor de publicaties had Trouw overleg met juristen en advocaten. In een brief van de hoofdredactie laat de krant weten dat de berichtgeving zeker wel valt te verdedigen. Er is namelijk sprake van een "zwaarwegend publiek belang", schrijft hoofdredacteur Cees van der Laan in de brief. "Een onbeveiligde laptop met onbeveiligde toegang tot het KPN-intranet vol met gevoelige informatie en de samenwerking met een groot Chinees bedrijf, waardoor Chinese veiligheidsdiensten potentieel landgenoten in de gaten kunnen houden, zijn zaken van groot publiek belang." Ook over de andere kwesties is maatschappelijk debat geweest en de verhalen van Trouw leveren daar een bijdrage aan, stelt Van der Laan verder.
Aan de andere kant, wat naar buiten is gekomen is ook wel belangrijk genoeg naar mijn mening om het inderdaad te publiceren, al denk ik wel dat ze bij Trouw mogelijk illegale handelingen hebben uitgevoerd om aan deze informatie te komen.
Neemt niet weg dat deze monteur oerdom is geweest en dat de ICT afdeling bij KPN te kort is geschoten bij de beveiliging.
Het feit dat ze vervolgens op TeamKPN hebben kunnen kijken komt (gok ik) doordat de betreffende monteur de credentials gewoon in de browser liet onthouden. Trouw heeft hiermee waarschijnlijk ook op het Tweakers.net of Facebook account van de monteur kunnen inloggen. Ze hebben het hierbij niet gelaten, ze zijn verder gaan graven. Je komt dan inderdaad al bijzonder vlot op computervredebreuk. Het "zwaarwegend publiek belang" kwamen ze pas achter nadat ze computervredebreuk hadden gepleegd, niet daar voor.
Neemt niet weg dat deze monteur oerdom is geweest en dat de ICT afdeling bij KPN ernstig te kort is geschoten bij de beveiliging.
Laptop niet versleutelt
Laptop vergeten
Te weinig moeite gedaan deze weer op te sporen
Wachtwoorden opgeslagen in de browser
Geen 2FA indien connectie gemaakt van buiten het eigen KPN netwerk.
en ja
dat is maar beter ook
Dit is een onherstelbare fout .
Zo moeilijk is het niet. Het is gewoon onwetendheid van de leidinggevenden. Bij een telecom en ICT bedrijf als KPN die zoveel invloed heeft op het leven van burgers vind ik dat al deze zaken niet zijn gestandariseerd van groot maatschappelijk belang. Zeker als je dan daarnaast ook nog eens de inhoudt ziet waarmee ze zich bezig houden. Concurrentie ondermijning, chinese contacten met potentiele veiligehidsrisico's voor de samenleving,. Etc.
Pech gehad, met hun computervredebreuk. Hang maar aan de schandpaal.
En verder ben ik van mening dat FREEDOM INTERNET een prima opvolger van XS4ALL zal worden.
Hallo KPN. Wordt eens wakker. De Billen zijn gebrand en nu snel op de blaren gaan zitten en huili huili doen.
Tip: Even 2FA aanzetten morgen?
Ik zou het natuurlijk nu ook van maatschappelijk belang vinden om het prive leven van deze journalist uit te pluizen, want wat heeft hem bewogen dit te doen, kunnen we hem vertrouwen met de inhoud, heeft hij deze gemanipuleerd?
Dit geldt voor een datalek. Als je 1 record kunt laten zien met persoonsgegevens is er een datalek.
Hier was met 1 record niet aan te tonen dat er gevoelige informatie te vinden was. Dat is wat journalisten doen. Ze hebben een strohalm en kijken of er meer aanhangt. En als ze iets vinden, moeten ze kijken of er nog meer belangrijke informatie te vinden is.
Lees het boek van Huib Modderkolk maar eens.
Ik vind het wel vreemd dat een willekeurige monteur bij informatie kan komen die aantoont dat KPN andere kabelaars frustreert. Ja, dat weten wel al 20 jaar, maar het is vreemd dat er nu pas bewijs van beschikbaar komt.
Peter
- een door KPN ontwikkelde app voor Chinese toeristen die daarmee zijn te volgen[...] waardoor Chinese veiligheidsdiensten potentieel landgenoten in de gaten kunnen houden.
- hoe KPN de aanleg van glasvezelkabel door concurrenten frustreerde.
KPN moet zich diep, HEEL diep schamen!
Fijn dat zij lef hebben om publiek belang te dienen, en er risico's voor durven te nemen.
En hulde aan de rechtstaat dat dit (nog) kan hier.
versus... schande dat volgen van Chinezen toeristen... schande - helemaal i.c.m. met de "foei Huawei" laster-campagne.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.