“Dit valt iedereen te verwijten, ook de gebruikers", zegt directeur Seth van der Meer van beveiligingsleverancier Astaro. Hij stelt dat er van hackers een verkeerd beeld bestaat en dat organisaties hackers juist moeten omarmen. Van der Meer wijzigt die mening ook niet door het lekken van KPN-inloggegevens door een hacker die de data elders vandaan had. Daarbij is de oorspronkelijke database, van webwinkel Baby-Dump, gefilterd op alleen KPN-klanten.

Webmail afgesloten

Van der Meer vertelt Webwereld dat kwaadwillende hackers maar een klein deel vormen. “Dat zijn meestal ook maar scriptkiddies." Toch kunnen die 'niet echte' hackers veel schade aanrichten, zoals nu is gebeurd. KPN heeft reputatieschade en klanten van dat bedrijf zijn afgesloten geweest van hun webmail. Het telecombedrijf heeft namelijk de mailtoegang tijdelijk op slot gezet om misbruik te voorkomen.

De uitgelekte inloggegevens waren weliswaar niet afkomstig van KPN, maar van webwinkel Baby-Dump. Doordat klanten echter dezelfde wachtwoorden hebben gebruikt voor beide online-diensten, was er wel risico. Volgens Van der Meer valt dat wachtwoordhergebruik de eindgebruiker te verwijten.

'KPN niet fout'

Ook ict-jurist Arnoud Engelfriet uit daar kritiek op: “Dat is natuurlijk niet slim, maar toch is het staande praktijk. Hele volksstammen doen het." Hij kijkt voor de schuldvraag toch meer naar de hacker die de inloggegevens online heeft gepubliceerd. Die persoon heeft KPN-klanten 'in gevaar' gebracht en het - eerder al wel gehackte - bedrijf tot handelen gedwongen.

“KPN heeft niet fout gehandeld door informatie te lekken", aangezien het telecombedrijf de bewuste informatie niet heeft gelekt, legt Engelfriet uit. “En KPN heeft juist gehandeld door de webmail te blokkeren", aangezien de logins wel bleken te kloppen. “De oorzaak is hierbij minder belangrijk dan het risico." KPN-klanten maken volgens de ict-jurist dan ook weinig kans om hun schade te verhalen op het telecombedrijf.

Claims kansloos

Tegelijkertijd valt Baby-Dump ook niet direct aan te schrijven, voor schade door het gemis aan mailtoegang bij KPN. Schade claimen bij de webwinkel kan wel als er door kwaadwillenden is gefraudeerd met de logins bij Baby-Dump zelf, door bijvoorbeeld bestellingen te doen. Het op slot zetten van de webmail door KPN is niet de schuld van de lekkende webwinkel, legt Engelfriet uit.

Juridisch gezien zou KPN aangifte kunnen doen tegen de hacker die de data heeft gepubliceerd. “Als iemand iets online roept, dan gelden daarvoor dezelfde wetten als voor iets publiekelijk op straat roepen. Smaad, reputatieschade", somt Engelfriet op. Hij voegt daaraan toe dat er dan wel sprake moet zijn van opzet: de dader moet de intentie hebben gehad om schade aan te richten.

“Dat lijkt mij hier wel het geval, gezien het feit dat er is gefilterd in de database van Baby-Dump op alleen KPN-klanten." Het lek is ook begeleid van de tekst 'KPN hack proof'. De hacker reageert daarmee op KPN's ontkenning dat er klantgegevens waren buitgemaakt bij de eerder bekend geworden cyberinbraak.

Één hoofdschuldige

“Eigenlijk is alles de schuld van die ene hacker. Maar zo iemand zit achter zeven proxy's", dus valt nagenoeg niet op te sporen, aldus Engelfriet. “KPN kán een claim indienen, maar dat heeft weinig nut." De ict-jurist acht dit praktisch gezien “kansloos". KPN laat aan Webwereld weten dat het de zaak overlaat aan Justitie. Die voert al onderzoek uit naar de eerdere hack, waarbij een andere hacker diep is doorgedrongen in de systemen van het bedrijf.

Volgens de KPN-woordvoerder “ligt het voor de hand" dat het lekken van de inloggegevens, gefilterd op KPN-klanten, wordt meegenomen in het al lopende onderzoek. De uiteindelijke beslissing om dat wel of niet te doen, is natuurlijk wel aan Justitie. De eigenlijke KPN-'kraker' heeft tegenover Nu.nl het lekken van de inloggegevens al veroordeeld. “Dat willen we niet en is fout", aldus de hacker die is binnengekomen in KPN's verouderde systemen.

'Onverantwoord'

Hetzelfde oordeel velt Daniël Heesen die naar aanleiding van Lektober lekken in webwinkels heeft blootgelegd, waaronder ook Baby-Dump. “Het is natuurlijk zeer onverantwoord om persoonsgegevens en wachtwoorden te publiceren", reageert hij op vragen van Webwereld. “Tot full-disclosure ga je pas over als het écht niet anders kan. Je waarschuwt de onderzochte organisatie, levert daarna bewijs. Bij ontkenning lever je nog meer bewijs."

“Maar deze publicatie heeft twee kanten. Aan de ene kant het verhaal van dat het onverantwoord is, om persoonsgegevens en wachtwoorden te publiceren. Aan de andere kant, het creëert een desillusie. Iedereen refereert nu de KPN hack aan 'O, het was maar een database lek van Baby-dump.nl' terwijl KPN toch echt wel grondig gehackt was."

“Als je dan besluit dat je overgaat tot full-disclosure zorg je ervoor dat je bewijs niet 'bruikbaar' is. Een persoonsgegeven zoals Jeroen Brinks wordt Jeroen B. en telefoonnummers zoals 8593-418914 worden 85**-418***. Je bewijst hiermee, de database is gelekt. Maar levert geen schade op aan de maatschappij", legt hij uit.

Zekere voor het onzekere

Heesen heeft ook kritiek op KPN, dat volgens hem té snel heeft gereageerd. “Maar ik vind het niet slecht dat ze alles offline gooien, je kunt beter het zekere voor het onzekere nemen. De schadeposten die het KPN nu oplevert, zullen fors minder uitvallen dan dat een groot aantal webmails gehackt worden. Daardoor zullen de kosten juist nog extra oplopen."

KPN benadrukt dat het zich heeft geconcentreerd op drie, opeenvolgende zaken. Een woordvoerder somt op: "Het veilig stellen van de e-mail van onze klanten, dus het blokkeren van de webmail. Het daarna hervatten van de dienstverlening. En dan klanten de mogelijkheid geven klachten en schadevergoedingen in te dienen." Dat laatste kan vanaf maandagmiddag. Het is nog niet duidelijk wat de schadeclaims kunnen opleveren.