De dure inschattingsfouten van KPN

Alles onder controle, beloofde KPN na een computerinbraak. Maar de provider sloot dit weekend wel de mail van twee miljoen klanten af.

Twee miljoen KPN-klanten konden vanaf vrijdag opeens niet meer e-mailen. De oorzaak: de grootste provider haalde zijn mailservers uit de lucht nadat een lijst van 539 KPN-klanten online verscheen, compleet met adres, inlognaam en wachtwoorden. Daarboven stond ‘KPN houdt vol: geen klantengegevens gestolen’.

Deze gegevens zijn, blijkt achteraf, niet gestolen bij KPN. Ze komen uit een eerder gekraakte database van webwinkel Baby-Dump. Een anonieme internetter publiceerde ze om KPN een hak te zetten. En dat lukte.

Dat KPN zo rigoureus ingreep had te maken met een veiligheidsprobleem dat het bedrijf al enkele weken in zijn greep houdt. De pizzakoerier kent de weg naar het Maanplein in Den Haag al uit z’n hoofd, want op de zevende en achtste verdieping van het KPN-hoofdkantoor zit sinds 27 januari een crisisteam non stop te werken. Zij proberen de chaos te beteugelen die ontstond na een computerinbraak op maandag 16 januari.

Pas vier dagen later, op 20 januari, ontdekt KPN dat een hacker toegang heeft gehad tot systemen waarop gegevens van duizenden klanten staan. De inbreker kwam binnen via een slecht onderhouden server met een te makkelijk wachtwoord.

Aanvankelijk denkt KPN het lek gedicht te hebben. Maar als een extern beveiligingsbedrijf, Fox-IT, de inbraak onderzoekt blijkt dat de hacker nog wel toegang heeft tot de gegevens van klanten.

Op 27 januari slaat KPN alarm bij ministeries, opsporingsdiensten en toezichthouder Opta. Zij schuiven aan bij het crisisteam van zo’n 15 mensen. De leiding is in handen van Joost Farwerck, net benoemd tot KPN-directeur voor Nederland. Er geldt ‘code rood’: de hoogste staat van paraatheid bij de provider die niet alleen twee miljoen internetklanten heeft, maar ook verantwoordelijk is voor essentiële infrastructuur bij overheden.

KPN wil de gegevens van klanten veilig te stellen zonder de hacker te alarmeren. Dat moet maatschappelijke onrust voorkomen, legt KPN later uit. Ongeveer honderd mensen zijn er continue mee bezig en als de gegevens zijn veiliggesteld maakt KPN de inbraak op woensdag 8 februari wereldkundig. De provider zegt geen aanwijzing gevonden te hebben dat er gegevens van klanten gekopieerd of veranderd zijn.

Dat blijkt – alweer – een te optimistische inschatting. Via ict-site Webwereld melden zich de hackers, die zeggen 16 gigabyte aan gegevens te hebben gekopieerd. Daarmee konden ze desgewenst klanten afsluiten. De data zou meteen vernietigd zijn; het ging de inbrekers er louter om het veiligheidslek aan te tonen.

Inmiddels is KPN naar ‘code oranje’ teruggeschakeld. Maar dat duurt niet lang. Vrijdagmiddag verschijnt een bestand met de inloggegevens van 539 KPN-klanten op pastebin.com, een website die vaker als etalage voor geslaagde computerinbraken dient.

Het is niet zeker dat deze data uitgelekt zijn via de inbraak van januari, maar KPN vindt wachtwoorden van bestaande klanten. Om de veiligheid te garanderen ziet de provider zich genoodzaakt twee miljoen klanten te dwingen om hun wachtwoord te veranderen en sluit de maildienst.

De onrust die KPN zo graag had willen voorkomen, breekt nu in alle hevigheid los. Klanten ventileren hun teleurstelling op Twitter verontwaardigde politici willen Kamervragen stellen, websites berichten over het onvermogen van de provider om zijn klanten te beschermen.

KPN belooft om op zaterdagochtend alle mailservers weer in de lucht te hebben. Maar dat blijkt weer te optimistisch: de servers kunnen het niet aan als iedereen tegelijk zijn wachtwoord verandert – dat moet stapsgewijs. De helpdesks, waar 200 mensen extra voor zijn opgetrommeld, draaien op volle toeren.

Dan meldt zaterdagavond ICT-journalist Brenno de Winter dat de gegevens van de 539 KPN-klanten afkomstig zijn van een andere computerinbraak. Webwinkel Baby-Dump is vorig jaar al eens gekraakt en daar zijn inloggegevens van vele duizenden mensen gestolen.

Deze hacker heeft, om KPN te sarren, een bestand gepubliceerd met een kleine selectie van kpn-mail-adressen. Zo legde iedereen – ook KPN – het verband met de inbraak in januari. Er waren vrijdag echter al aanwijzingen dat het om een ander bestand ging. Een aantal van de 539 wachtwoorden verwezen naar ‘baby’ of ‘babydump’. En KPN had zelf al gezegd dat de hackers in januari toegang hadden tot naam, adres, telefoonnummer en bankrekeningnummer. Maar niet tot wachtwoorden van mailaccounts.

Dat enkele wachtwoorden van KPN-klanten toch overeen kwamen met het wachtwoord van hun e-mail is te wijten aan een onveilige gewoonte: internetgebruikers hanteren voor alle webdiensten hetzelfde wachtwoord.

In Den Haag, bij het crisisteam van KPN, is een grote zucht van verlichting te horen als verschillende bronnen bevestigen dat het uitgelekte bestand niet gestolen is van de eigen KPN-servers. Een ander lek, bij een slecht beveiligde webwinkel, leidt de aandacht eventjes af.

Maar de crisis is nog lang niet voorbij. Een onderzoek naar de ICT-veiligheid bij de provider is hard nodig. KPN maakte te vaak een te optimistische inschatting van de problemen. Om vervolgens met een te pessimistische inschatting twee miljoen klanten op stang te jagen.

De hackers bewezen dat KPN zijn servers niet goed onderhoudt, iets dat KPN nu ook in een publieke spijtbetuiging bevestigt. Je zou deze hackers kunnen verwijten dat ze KPN niet meteen waarschuwden toen ze op 16 januari binnendrongen.

Maar ze zijn van een heel ander kaliber dan de anonieme internetter die de oude lijst met gestolen klantengegevens publiceerde. Dat is eerder een daad van vandalisme. Aan de andere kant: zulke databases worden ook verhandeld op de zwarte online markt – lekke webwinkels genoeg.

De gewone internetter kan de les trekken uit het afgelopen weekeinde: gebruik verschillende mailadressen en verschillende wachtwoorden voor webdiensten, of een password manager die sterke wachtwoorden genereert en bewaart. Want als je niet meer kunt vertrouwen op de veiligheid van andermans systemen, moet je zelf maatregelen nemen.