140.000 KPN ADSL-accounts lek door welkom01-fail

door

Gemeente Meppel

door

Nieuws - Onbevoegden kunnen inloggen op het beheeraccount van 140.000 zakelijke ADSL-klanten van KPN, omdat de telco ze het standaard wachtwoord 'welkom01' gaf.

KPN heeft in allerijl de portal voor zakelijke ADSL-klanten offline gehaald na melding van Webwereld van verschillende basale zeperds in de databeveiliging.

Bijna niemand wijzigt 'welkom01'

Iedereen kon met minimale inspanning inloggen op het beheeraccount van abonnees van zakelijke ADSL. KPN heeft namelijk abonnees jarenlang het standaard wachtwoord 'welkom01' gegeven. Dit wachtwoord hoefde niet gewijzigd te worden en is daarom ook door een grote meerderheid ook nooit gewijzigd.

In combinatie met de vaste, eenvoudig te achterhalen gebruikersnaam van 'postcode+huisnummer' kan een onbevoegde in principe toegang verkrijgen tot circa 140.000 accounts.

Accounts inzien en wijzigen

Achter deze inlog, het zogeheten Customer Self Center, kunnen zakelijke ADSL-klanten hun persoons- en contactgegevens, bankrekeningnummer, soort abonnement zien én wijzigen. Ook kan het wachtwoord hier worden gewijzigd. Daarnaast kunnen aanvullende diensten als pinnen over IP en zakelijk alarm worden aan- of uitgezet. En derden konden dit alles dus ook. Deze website is bovendien niet versleuteld met SSL.

Om de zaak te vergemakkelijken kan een ieder een lijst van KPN zakelijke ADSL-klanten inzien via een zoekactie op de site van RIPE NCC. In totaal heeft KPN zakelijke ADSL zo'n 180.000 klanten, onder wie grote concerns als Sony Benelux en verschillende securitybedrijven zoals Fox-IT. Het account van de laatste was overigens niet toegankelijk, maar die van Sony wel, bleek uit steekproeven.

KPN corrigeert

Webwereld werd getipt over het privacylek bij KPN door Robert Schagen van ict-dienstverlener Robert IT-4U, die de basale zwakten bij toeval ontdekte. Na melding bij KPN heeft het telecomconcern dinsdag prompt de toegang tot site geblokkeerd. Bovendien stuurt KPN momenteel 140.000 klanten een mailtje dat ze hun wachtwoord alsnog verplicht moeten wijzigen bij de eerstvolgende inlog, want alle 'welkom01' wachtwoorden zijn door KPN gereset. De site is naar verwachting vanmiddag weer bereikbaar.

"We waren ons niet bewust van deze kwestie, maar hier is het beveiligingsniveau tekort geschoten", aldus KPN in een reactie. "We hebben de Self Service portal meteen dichtgegooid en ondernemen nu aan aantal stappen om de procedures bij het aanmelden en inloggen veiliger te maken. We willen de tipgever bedanken. Dergelijke meldingen vinden we erg waardevol."

Voer voor ID-fraude

Op termijn wil KPN de Self Service portal integreren in Mijn KPN, maar wanneer dat gaat gebeuren is nog onduidelijk. KPN zegt geen aanwijzingen te hebben dat er accounts zijn gekaapt, en stelt dat de gegevens achter de inlog niet direct enorm geheim zijn.

Rachel Marbus, bestuurslid van het Platform voor Informatiebeveiliging, hekelt deze nonchalance. "Dergelijke informatie is voer voor identiteitsfraude. En zeker voor zzp'ers ook zeer privacygevoelig."

KPN negeert standaard infosec praktijk

Marbus begrijpt niet dat een bedrijf als KPN zijn klanten het standaard wachtwoord 'welkom01' geeft. "Het afdwingen van een sterk wachtwoord is natuurlijk een basale eis tegenwoordig, dat is standaard praktijk."

Over de respons van KPN is Marbus wel te spreken. "Ik ben blij dat ze zo snel gehandeld hebben en zo positief reageren. Dat is bij andere meldingen van datalekken wel eens anders."
Ook tipgever Schagen vindt de reactie van KPN adequaat, zeker na het jarenlange geblunder. "Goed dat ze de toegang meteen blokkeren en dat ze alles gaan aanscherpen."

UPDATE: KPN meldt zelf dat circa 120.000 klanten het welkom01-wachtwoord hadden. Daarnaast gebruikten ongeveer 20.000 klanten hun gebruikersnaam ook als wachtwoord. De wachtwoorden van al deze 140.000 klanten zijn gereset.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.
promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.