KPN

Toegang tot gevoelige informatie van KPN door vergeten laptop

Laatst bijgewerkt: 6 juli 2020
Leestijd: 2 minuten, 52 seconden

Een recent incident roept vragen op over de gegevensbeveiliging van KPN. De krant Trouw kreeg een laptop in handen die een KPN-monteur had laten liggen bij een klant. De laptop bleek niet te zijn beveiligd met een wachtwoord. Hierdoor kon de krant eenvoudig bij gevoelige informatie van KPN-medewerkers en klanten van het bedrijf, waaronder de overheid, het Amerikaanse leger en de NAVO.

Opgeslagen wachtwoorden

KPN is de grootste telecomprovider van ons land. Het bedrijf verzorgt communicatiediensten voor vitale sectoren zodat onze maatschappij goed kan functioneren. Denk aan de financiële wereld, de gezondheidssector, nutsvoorzieningen en overheidsdiensten. Met zo’n grote vinger in de pap verwacht je dat KPN zijn beveiliging op orde heeft. Dat is allesbehalve het geval, zo ontdekte dagblad Trouw. De krant wist de hand te leggen op een laptop die een monteur per ongeluk had laten liggen bij een klant. Deze bleek niet beveiligd te zijn met een gebruikersnaam en wachtwoord. Door de computer simpelweg aan te zetten had je al toegang tot de gegevens van meer dan 16.000 zakelijke en publieke klanten.

Doordat voor veel websites de wachtwoorden waren opgeslagen in de browser, konden de journalisten gemakkelijk bij bedrijfswebsites en het intranet van KPN. Als test hebben zij dit ook geprobeerd en ze kwamen erachter dat er zelfs geen tweestapsverificatie beveiliging was. Hieronder vallen zelfs vertrouwelijke documenten over de Nederlandse overheid en de NAVO. Via de achtergelaten laptop konden de journalisten ook gemakkelijk bij dossiers van KPN-medewerkers. Persoonlijke data als contactgegevens en pasfoto’s waren gewoon in te zien.

Mogelijke gevolgen

Een dergelijk lek kan in de handen van criminelen goud waard zijn. Met de gegevens van KPN-klanten kan gerichte phishing worden gepleegd. Wanneer de criminelen dan uit naam van de KPN klanten benaderen over, bijvoorbeeld openstaande bedragen zullen mensen eerder geneigd zijn te betalen als ze ook daadwerkelijk klant zijn bij KPN. De criminelen zouden zo alle nodig informatie hebben om mensen succesvol voor de gek te houden.

Niet alleen de gegevens van klanten lagen door het ontbreken van beveiliging voor het oprapen. Kwaadwillenden hadden eveneens toegang tot de persoonsgegevens van 13.000 KPN-medewerkers. Het gaat om gegevens als pasfoto’s, e-mailadressen en mobiele telefoonnummers. Voor hackers is het op deze manier kinderlijk eenvoudig om identiteitsfraude of CEO-fraude te plegen. Bij dergelijke scams doen de hackers zich voor als een hooggeplaatste medewerker van een bedrijf om zo de financiële afdeling onder druk te zetten om snel een betaling te regelen. Hoe meer informatie ze over medewerkers hebben, hoe beter ze dit type scam uit kunnen voeren.

Reactie KPN

Trouw vroeg KPN om een reactie. Het telecombedrijf zegt een “betrouwbaar en solide securitybeleid” te voeren voor het gebruik van apparatuur voor de eigen medewerkers. “Dit beleid wordt per kwartaal geactualiseerd volgens de meest recente ontwikkelingen en eisen”, aldus KPN. Een voorbeeld is dat het intranet van het bedrijf niet te bereiken is op apparatuur die niet van KPN is. Het bedrijf zegt het incident te onderzoeken en belooft beterschap.

Els Busser, universitair docent Cyber Security Governance aan de Universiteit Leiden, zegt de bevindingen van Trouw “schokkend” te vinden. “Je mag verwachten dat de beveiliging van apparaten en de afscherming van gevoelige informatie op intranet in goede handen is bij KPN. Zorg voor stevige sloten op de deur en leg niet de juwelen in het zicht”, zo vertelt ze tegenover Trouw.

Kijkende naar het incident liggen oplossingen als verplichte wachtwoordbeveiliging en tweestapsverificatie ook voor de hand. KPN heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

Tech-journaliste
Tove is reeds sinds 2017 als cybersecurity-redacteur betrokken bij VPNgids. Sinds 2019 is zij tevens coördinator voor het cybersecurity-nieuws dat op de website verschijnt.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen