Mogelijk was heel KPN in gevaar. Een overzicht van een van de grootste hacks uit de Nederlandse geschiedenis.

KPN was altijd de degelijke provider. Bellen en internetten zonder opsmuk. Met betrouwbare dienstverlening, sympathieke reclames en overzichtelijke Primafoon-winkels. Duidelijk, ultiem Nederlands, en zonder fratsen.

Het betrouwbare imago van KPN heeft deze week een enorme klap gekregen. Woensdag meldde het bedrijf dat er al een week met ‘100 man, 24 uur per dag’ gewerkt wordt om een megahack in te dammen. Het hele bedrijf in hoogste staat van paraatheid: “code rood”. Privé-gegevens van miljoenen mensen mogelijk op straat. Misschien vitale infrastructuur in gevaar. WTFBBQ is daar aan de hand? Een overzicht.

KPN zegt zelf dat ze 20 januari “onregelmatigheden” aantroffen in de “serverclusters”. Allerlei “sporen van inbraak” die terug gaan tot 16 januari. Maar een week na de ontdekking hebben hackers nog steeds toegang tot de systemen van KPN. Een extern bedrijf moet ze komen helpen omdat ze er bij KPN zelf niet uitkomen, en de overheid wordt *eindelijk* op de hoogte gesteld.

Woensdag - Het nieuws breekt
Afgelopen woensdag is het hoogtepunt van de Elfstedenkoorts. ‘s Middags komt KPN naar buiten met een persbericht: een hacker heeft toegang gehad tot klantgevens (NAW-gegevens, emailadressen, dat werk), maar men heeft niet heeft kunnen constateren dat er daadwerkelijk klantinformatie gedownload is. Het gat is gedicht, geen zorgen, weinig aan de hand. Gaat u maar rustig schaatsen.

Donderdag - kinderlijk eenvoudige hack wordt bekend
De volgende dag wordt het verhaal een tikkie interessanter. De hackers vertellen aan IT-journalist Brenno de Winter dat het hacken van de database met klantgegevens kinderlijk eenvoudig was. Het bedrijf had nog een aantal oude servers staan, waarvoor het niet de moeite had genomen om die met enige regelmaat te voorzien van veiligheidsupdates. Een server draaide op het middeleeuwse SunOS 5.8, dat is zo kwetsbaar als een brandkluis van papier-maché.

Knappe hack wordt bekend
Via een veel knappere hack zouden ze de het interne netwerk van KPN binnengekomen zijn, en daar flink huisgehouden hebben: de hackers claimen toegang tot het beheerssysteem voor internetaansluitingen en KPN geeft toe dat klanten in het ergste geval geen 112 meer hadden kunnen bellen als gevolg van de inbraak. KPN heeft een wettelijke verantwoordelijkheid voor 112. Shit hit the fan.

Vrijdag claimt Tweakers dat de hackers zó diep in de kritieke infrastructuur van KPN waren binnengedrongen dat men in theorie internetverkeer van KPN-klanten had kunnen onderscheppen. Of nog erger: Als het waar is dat hackers in de zogenaamde core-routers zaten, had men alle servers kunnen uitzetten. Men had vrij letterlijk KPN kunnen uitzetten.

Privégegevens van klanten
Even terug. Miljoenen KPN-klanten weten ondertussen niet wat de gevolgen voor hén zijn. Het bedrijf zegt niet te kunnen zeggen of er klantgegevens gedownload zijn, en of er dus NAW-gegevens, telefoonnummers, emailadressen, of — nog erger — wachtwoorden gestolen zijn. Op internet doet echter een gerucht de ronde dat hackers 16GB aan privé-gegevens hebben gedownload. Als dat waar is, liggen zeer persoonlijke gegevens van miljoenen Nederlanders op straat.

Opeens verschijnt er vrijdag een pagina met gegevens van ongeveer 500 KPN-klanten op Pastebin. Pastebin is een website die vaak gebruikt wordt door hackers om anoniem gegevens op te dumpen, soms om te bewijzen dat ze een succesvolle hack gedaan hebben. De titel van de pagina luidt “KPN HACK PROOF”. Pagina’s op Pastebin hebben geen afzender, en daarom is het onmogelijk de herkomst vast te stellen. KPN zegt op dit moment nog steeds niet te kunnen zeggen of er gebruikersgegevens gestolen zijn.

Als deze Pastebin-pagina authentiek is, en de gegevens van deze 500 klanten het topje van de ijsberg zijn, zijn de maatschappelijke gevolgen potentieel groot. Veel mensen gebruiken namelijk hetzelfde wachtwoord op meerdere plekken en alleen al daarom is zo’n databank een goudmijn voor criminelen. Kortom: het is belangrijk dat er snel duidelijkheid komt over de authenticiteit. In een snelle check kijk ik of een paar wachtwoorden van KPN klanten werken op Marktplaats en Facebook (aangezien mensen vaak dezelfde wachtwoorden voor meerdere sites gebruiken). Dat werkt. Ik ben binnen en log weer uit. Er is geen twijfel over mogelijk: deze lijst is echt, maar het blijft onduidelijk of hij bij KPN vandaan komt.

Serious business. En dat vond KPN blijkbaar ook, want die leggen kort hierna “uit voorzorg” hun hele mailsysteem (> 2 miljoen abonnees) plat. Daarnaast doet het Openbaar Ministerie een waarschuwing uitgaan dat het inloggen in andermans accounts strafbaar is — waarschijnlijk om te voorkomen dat duizenden mensen gaan rondneuzen in persoonlijke gegevens van KPN-klanten. De gevolgen daarvan kunnen enorm zijn, vooral als KPN-klanten hun wachtwoord ook voor hun Google, Amazon of PayPal-account gebruiken.

Zaterdag — Email-systeem de hele dag offline
Zaterdag is de herkomst van de lijst nog steeds onbekend, maar ligt het email-systeem van KPN nog steeds plat (waarmee KPN suggereert dat ze er rekening mee houdt dat de gegevens van twee miljoen Nederlanders inderdaad gestolen zouden kunnen zijn — men neemt blijkbaar het zekere voor het onzekere). Aan het eind van de dag komt het mailsysteem langzaam op gang.

Daarnaast wordt via Brenno de Winter ‘s avonds bekend dat de 500 gelekte gegevens op Pastebin niet uit de KPN-database komen, maar van een totaal andere hack. Veel mensen vermoedden een relatie tussen de gelekte gegevens, en het feit dat KPN vlak daarna haar complete mailsysteem platlegde. Die relatie lijkt opeens niet te bestaan. Het blijft onduidelijk of er privé-gegevens gestolen zijn.

De OPTA heeft inmiddels aangekondigd onderzoek te doen naar KPN, dat al langer onder verscherpt toezicht stond. Kamervragen zijn gesteld, een spoeddebat aangevraagd. Maar ik heb het idee dat we de komende dagen nog wel meer vervelend nieuws gaan horen over het bedrijf.

Veel is nog onduidelijk
KPN zegt onderzoek te doen hoe de megahack heeft kunnen plaatsvinden. Dat onderzoek duurt inmiddels een week of drie. KPN heeft lang gewacht met het inschakelen van een privaat beveiligingsbedrijf en het op de hoogte stellen van de overheid. Wachtwoorden van klanten zijn potentieel al wekenlang in verkeerde handen.

Het is niet alleen een klap voor het vertrouwen dat consumenten in KPN hebben. Ook bij andere bedrijven zal data-opslag met een kritischer oog gevolgd worden. D66-Europarlementarier Sophie in ‘t Veld stelt op Twitter: “wellicht dat #kpn hack lichtje op gaat waarom ook ongebreidelde data-inzameling door overheid niet risico-vrij is…”

Hoe knap was deze hack?
Volgens beveiligingsonderzoeker Rickey Gevers gebruikten hackers geavanceerd gereedschap. Volgens hem was het met een zogenaamde zero day mogelijk om diep in de KPN-infrastructuur in te breken. Vervolgens stuitten de hackers op een middeleeuwse server die al jarenlang geen veiligheidsupdates gekregen had. Via die laatste machine konden privé-gegevens van miljoenen Nederlanders bekeken worden: een databank die op de zwarte markt veel geld waard is.

Een server met oude software laten draaien is zeer laakbaar, maar aangevallen worden doordat een onbekend beveiligingslek wordt gebruikt is lastig te voorkomen. Zo’n zero day is op de zwarte markt niet voor niets veel geld waard.

Ondertussen werkt de PR-machine van KPN op volle kracht. Het bedrijf heeft lang gewacht met het informeren van het publiek en kwam, “in het belang van het onderzoek” maar mondjesmaat met nieuws naar buiten. Wel deed het bedrijf de hack al snel af als een “fact of life”. Het positioneert zichzelf als slachtoffer van een “wapenwedloop” tussen bedrijven en “mensen met kwade ideeën”. Dat zijn toch wel een beetje bizarre uitspraken van een bedrijf dat jarenlang geen veiligheidsupdates installeerde op servers waarmee privé-gegevens van miljoenen Nederlanders te downloaden waren. Als dit een wapenwedloop is, gebruikte KPN verlopen, verroest en vastgelopen wapentuig.

Comments

comments powered by Disqus

Notes

  1. remjer heeft dit van alexandernl gereblogd
  2. charlottefemke heeft dit van alexandernl gereblogd
  3. edwingardner heeft dit van alexandernl gereblogd
  4. alexandernl heeft dit geplaatst