Wij laten automatisering
voor u werken
radecom

KPN lekt persoonsgegevens 500 klanten

Op Pastebin is een lijst verschenen met naw-gegevens, wachtwoorden en e-mailadressen van meer dan 500 KPN-accounts. De lijst is authentiek.

 De lijst op Pastebin onthult de persoonlijke gegevens van meer dan 500 gebruikers van KPN mail. Het gaat om voorletters, achternaam, geslacht, adres, postcode, woonplaats, 06-nummer, e-mailadres en wachtwoord. Bovenaan de lijst prijkt de tekst: "KPN HACK PROOF."

Onderzoek

Het lijkt erop dat een hacker wil laten zien dat er wel degelijk gegevens zijn gestolen van de servers van de telecomprovider. KPN onthulde woensdagmiddag dat een server met klantgegevens was gekraakt, een hacker had meer dan een week toegang tot de gegevens, maar zou niets gestolen hebben. Later bleek dat er verouderde systemen in gebruik waren.

Of het gaat om een nieuwe hack of om de oude actie is niet bekend. Woordvoerdster Simona Petescu kan niet bevestigen dat het om authentieke gegevens gaat. "Wij kunnen op dit moment niets bevestigen." Inmiddels lijkt de webmail van KPN offline te zijn gehaald. "Ook dat kan ik niet bevestigen, dat is alles wat ik er nu over kan zeggen."

Wel authentiek

Uit onderzoek van Webwereld blijkt dat de lijst inderdaad authentiek is. Abonnees van KPN die door Webwereld zijn benaderd, reageren verbaasd. "Ik had er inderdaad net op teletekst over gelezen, maar je verwacht niet dat je er zelf tussen staat. Wat ik raar vind is dat ik het van u moet horen. KPN heeft nog niks laten weten." Ze bevestigt dat het wachtwoord op de lijst inderdaad klopt.

Een andere abonnee: "Alleen het adres klopt niet, want ik ben een jaar geleden verhuisd." Ook deze abonnee gaat zo snel mogelijk zijn wachtwoord veranderen. Veel mensen gebruiken dezelfde wachtwoorden voor verschillende internetdiensten.

Een andere gedupeerde klant vindt het schandalig dat zijn gegevens online staan. Hij bevestigt tegenover Webwereld de juistheid ervan. "Ik probeerde mijn wachtwoord al te veranderen, maar de site was offline." Van KPN heeft hij nog niks te horen gekregen over de hack.

Update: Webmail uit voorzorg offline omdat "vermoedelijk klantgegevens online zijn gezet". Het gaat om 2 miljoen accounts.

Update: Het OM waarschuwt dat het verboden is om met de gepubliceerde wachtwoorden in te loggen op accounts. Dat gebeurt onder andere door journalisten, ook dat is verboden, bericht NU.nl. De maximale celstraf die daarop staat is twee jaar. Wie gegevens wijzigt riskeert vier jaar.

Update: KPN zegt bewust geen informatie naar klanten te hebben gegeven over de hack "om onnodige onrust in de samenleving te voorkomen". Daarnaast wilde het bedrijf de hackers niet alarmeren.

"Via deze stilte-aanpak wisten we de inbreker(s) de toegang tot de servers te ontnemen. Deze servers bevatten klantgegevens, zoals naam, adres, woonplaats, telefoonnummer en bankrekeningnummer. Zolang het onderzoek loopt is niet exact vast te stellen om hoeveel klantgegevens het ging. Creditcardgegevens en wachtwoorden voor financiële transacties zijn niet in de gehackte systemen opgeslagen", schrijft KPN in een nieuwe verklaring.

KPN zegt sinds 27 januari samen te werken met het Nationaal Cyber Security Centrum (NCSC), toezichthouder OPTA, het College Bescherming Persoonsgegevens (CBP), het Ministerie van Economische Zaken, Landbouw & Innovatie, het Ministerie van Veiligheid & Justitie en het Openbaar Ministerie (OM).

Inmiddels kunnen klanten van KPN wel weer mails versturen. "Op dit moment hebben wij alle emailaccounts geactiveerd voor uitgaande mail vanaf de thuiscomputer. Dit betekent dat klanten wel mail kunnen verzenden, maar nog niet kunnen ontvangen", schrijft KPN in een nieuwe update.

Update: De lijst met gegevens van webmailklanten van KPN blijkt toch niet afkomstig te zijn van KPN zelf. De lijst is samengesteld uit een heel andere database die eerder is gehackt.

Dat blijkt uit onderzoek van Nu.nl. De hacker die zich aanvankelijk had gemeld ontkende iets met de gepubliceerde lijst te maken te hebben, en ontkende ook dat deze gegevens op de gehackte server van KPN stonden.

De privégegevens blijken nu afkomstig van de database van Baby Dump. Alleen de KPN-klanten zijn uit deze database met in totaal 134.000 mensen genomen, zodat het leek alsof de gegevens van KPN afkomstig waren.

Bron: webwereld.nl