Al die tijd had hacker toegang, maar deed hij niks

Digitale inbreker dwingt KPN op de knieën: telecombedrijf belooft klanten betere beveiliging

Hackers hebben de afgelopen dagen hun spierballen laten zien. KPN had met veel moeite en in het geheim afgerekend met een onbekende die in de systemen zat mee te gluren. Dat maakte het telecombedrijf woensdag bekend. Vervolgens stonden twee dagen later plotseling de privégegevens van 539 KPN-klanten toch op allerlei websites. Het werk van weer een andere groep hackers. Volgt u het nog? Een terugblik in zes vragen.

Wanneer werd bij KPN duidelijk dat het systeem lek was?
Op 20 januari zagen technici van KPN dat hackers probeerden in te breken in het computerysteem. KPN nam maatregelen en dacht de boel weer afgeschermd te hebben. Voor de zekerheid vroeg KPN het internetbeveiligheidsbedrijf Fox It om raad. Uit het onderzoek van Fox It bleek dat een week later, op 27 januari, een hacker nog steeds toegang had tot een domeinserver. De hacker kon niet alleen bij klantgegevens - namen, emailadressen, telefoonnummers, wachtwoorden - maar ook bij het systeem dat internet en bellen verzorgt voor klanten. KPN gaf code rood en informeerde het ministerie van economische zaken, de nationaal coördinator terrorismebestrijding, het nieuwe Nationaal Cyber Security Centrum, waakhond Opta en het Openbaar Ministerie over het lek.

Vorige week woensdag kreeg het NOS-journaal lucht van de inbraak, daarop gaf KPN openheid van zaken. Inmiddels hadden honderd technici gewerkt aan 'een stille switch': alle gegevens zijn in de nachtelijke uren op andere servers gezet.

Maar de klanten van KPN wisten al die weken van niets. Waarom zo geheimzinnig?
KPN zag dat de hacker al die tijd toegang had tot het systeem maar verder niks deed. De autoriteiten en KPN wilden voorkomen dat de inbreker wist dat hij was ontdekt en alsnog schade zou aanrichten, waar hij alle gelegenheid toe had. Bovendien probeerde de politie de hacker ondertussen te traceren.

Waarom deed de hacker eigenlijk niks? Hij had makkelijk wat van die privégegevens kunnen verkopen.
De hacker is vermoedelijk een idealist. Internetjournalist Brenno de Winter, van Nu.nl en Webwereld, had contact met de betreffende hacker. Die zegt ingebroken te hebben om duidelijk te maken dat de beveiliging van KPN verouderd is. KPN geeft toe de beveiliging te hebben verwaarsloosd en belooft beterschap.

Eind goed al goed, zou je denken. Toch blokkeerde KPN de e-mail-accounts van alle twee miljoen klanten dit weekend. Waarom ontstond alsnog paniek?
Plotseling circuleerde vrijdag op het internet een lijst met de privégegevens van 539 KPN-klanten, namen, adressen, wachtwoorden, telefoonnummers. Ineens was KPN er niet meer zeker van of de hacker niet toch gegevens gedownload had. KPN sloeg alarm en blokkeerde uit voorzorg alle 2 miljoen e-mail-accounts. Het was alweer Brenno de Winter die enkele uren later ontdekte dat de gegevens afkomstig waren van een andere hack, die al veel eerder plaatsvond bij de online-winkel in babyspullen Baby-Dump.

Waarschijnlijk hebben een of meer hackers uit al die duizenden klantgegevens die ze destijds bij Baby-Dump van de server hadden geplukt, de gegevens van alleen de KPN-klanten gehaald en die online gezet.

Wat kunnen mensen hiervan leren?
Dat je nooit overal hetzelfde wachtwoord moet gebruiken. Wie bij Baby-Dump een bestelling doet, moet net als bij vrijwel iedere webwinkel inloggen met een wachtwoord. Een derde van de ruim 500 KPN-klanten op de lijst gebruikte hetzelfde wachtwoord bij de babywinkel als voor hun e-mailaccount en, wie weet, ook hun bankrekening. KPN heeft vanaf zaterdagavond alle klanten groepsgewijs weer aangesloten en ze aangeraden een nieuw wachtwoord te kiezen.

KPN zegt uitgebreid sorry. Wat hebben ze eigenlijk fout gedaan? Het lek dat schade veroorzaakte zat immers bij Baby-Dump.
KPN zegt sorry tegen de 2 miljoen mensen die dit weekend niet konden mailen. De mensen die aantoonbaar schade hebben geleden, kunnen compensatie krijgen. Dat kunnen bijvoorbeeld ondernemers zijn die bestellingen zijn misgelopen.

Verder maakt KPN zijn excuses omdat het achteraf sneller had willen zijn met het informeren van de 539 mensen van wie vrijdag de gegevens op het net verschenen. Sommigen werden door wildvreemden gebeld en zo op de hoogte gesteld. Ook zijn allerlei mensen de rondslingerende wachtwoorden van KPN-klanten gaan uitproberen op bankrekeningen, Facebook en in webwinkels.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden