11 februari 2012

kpn planet gehacked

Van internetprovider kpn zijn prive gegevens van (een onbekend aantal) klanten gestolen: naam, adres, email, telefoon + passwords!
Als voorzorgsmaatregel heeft kpn de toegang tot email van 2 miljoen klanten geblokkeerd en de websites ontoegankelijk gemaakt.

Dit betekent voor mij dat ik geen email kan ontvangen, en dat mijn website www.wasdarwinwrong.com onbereikbaar is, zowel voor bezoekers als voor mij als eigenaar.
Het is onbekend hoelang dit duurt.
Voor zover ik kan nagaan zijn mijn prive gegevens niet openbaar gemaakt.

17 uur: ondertussen kan ik weer email ontvangen en verzenden, maar mijn website is nog steeds onbereikbaar.
19 uur: instructie kpn email werkt niet
22 uur: website is weer in de lucht.

zondag 12 feb:

De vraag blijft: hoeveel schade is aangericht door het lekken van privé gegevens? Hebben kwaadwillenden misbruik gemaakt van die gegevens?
De vraag blijft tevens wat de extra schade is ten gevolge van de gebrekkige cq mislukte pogingen van kpn planet om haar klanten te beschermen door hun passwords te laten vernieuwen. Hoe uniek zijn de laatste 3 cijfers van je bankrekening?
Gaan degenen die de gestolen privé gegevens openbaar heeft gemaakt vrij uit? Is er kans dat de daders gepakt worden?
Feit is en blijft dat kpn de privé-gegevens van haar klanten slecht beveiligd heeft. Is dat verwijtbaar? strafbaar?

14 uur:
Ondertussen is gebleken dat de gepubliceerde privé gegevens niet van kpn afkomstig waren. Toch blijft de vraag: zijn er überhaupt privacy gegevens in handen van derden terecht gekomen en op het internet gezet? Of was het vals alarm?

Maandag 13 feb 10 uur:

het raadsel waarom 3 cijfers van je bankrekening uniek identificerend zouden zijn, blijkt uit de volgende toegevoegde instructie van kpn:
"het wijzigen van uw wachtwoord werken alléén vanaf het woon- of vestigingsadres waarop de aansluiting staat geregistreerd."
Ik vermoed dat ze dus je ip-adres gebruiken. De combinatie ip-adres en 3-cijfers van je bankrekening zou een unieke identificatie opleveren. Een getal van 3 cijfers kan natuurlijk nooit uniek identificerend zijn voor 2 miljoen personen (geeft 999 mogelijkheden).
Overigens is kpn niet zo dom geweest om gebruikers te laten inloggen met persoonsgegevens die gehacked en openbaar gemaakt zijn. Het punt is dat het password vernieuwen gewoon niet werkt.

Woensdag 15 feb
Eindelijk is het gelukt om email passwords te wijzigen. Vorige geheel volgens de voorschriften uitgevoerde pogingen werkten gewoon niet.

Donderdag 16 feb
Wat Eelco Blok (KPN) aan de NOS vertelt zijn pure vaagheden. Wij komen niets te weten wat er werkelijk gebeurt is. En kamerleden worden achter gesloten deuren door de KPN geinformeerd! Wij als klanten komen daar niets van te weten!

Geen opmerkingen: