KPN sarren is niet moeilijk

Alles onder controle, zei KPN na een grote computerinbraak. Toch schakelde de provider van twee miljoen Nederlanders de maildienst uit.

Twee miljoen KPN-klanten konden vanaf vrijdag opeens niet meer e-mailen. De oorzaak: ’s lands grootste provider haalde al z’n mailservers uit de lucht nadat vrijdagmiddag een lijst met 537 KPN-klanten online verscheen, compleet met adres, inlognaam en wachtwoorden. Daarboven stond ‘KPN houdt vol: geen klantengegevens gestolen’.

De gegevens zijn, blijkt achteraf, niet gestolen bij KPN. Ze komen hoogstwaarschijnlijk uit een eerder gekraakte database van webwinkel Baby-Dump. Een anonieme internetter zette ze online om KPN een hak te zetten. En dat lukte.

Dat KPN zo rigoureus ingreep had namelijk te maken met een veiligheidsprobleem dat het bedrijf al enkele weken in zijn greep houdt. De pizzakoerier kent de weg naar het Maanplein in Den Haag al uit z’n hoofd, want op de zevende en achtste verdieping van het KPN-hoofdkantoor zit al sinds 27 januari een crisisteam non-stop te werken. Zij proberen de chaos te beteugelen die ontstond na een computerinbraak op maandag 16 januari.

Pas vier dagen later, op 20 januari, ontdekken KPN-medewerkers dat een hacker toegang heeft gehad tot systemen waarop gegevens van duizenden klanten staan. De inbreker kwam binnen via een slecht onderhouden server met een makkelijk wachtwoord.

Op 27 januari slaat KPN stil alarm bij ministeries, opsporingsdiensten en toezichthouder Opta. Zij schuiven aan bij het crisisteam dat uit zo’n 15 mensen bestaat. Er geldt een ‘code rood’: de hoogste staat van paraatheid bij de provider die niet alleen twee miljoen internetklanten heeft, maar ook verantwoordelijk is voor essentiële infrastructuur, bijvoorbeeld bij de overheid.

De provider probeert de gegevens van klanten veilig te stellen zonder de hacker te alarmeren. Deze ‘stille switch’ moet maatschappelijke onrust voorkomen, legt KPN later uit. Ongeveer honderd mensen zijn er volop mee bezig.

Als de gegevens zijn veiliggesteld maakt KPN de inbraak op woensdag 8 februari bekend. De provider zegt dat er geen aanwijzing is dat er persoonlijke gegevens van klanten gekopieerd of veranderd zijn. Maar dat blijkt – alweer – een te optimistische inschatting. Via ICT-nieuwssite Webwereld melden zich de hackers, die zeggen 16 gigabyte aan gegevens te hebben gekopieerd. Daarmee konden ze desgewenst klanten afsluiten.

Inmiddels is KPN weer naar ‘code oranje’ afgedaald. Maar dat duurt niet lang. Vrijdagmiddag verschijnt een bestand met de inloggegevens van 537 KPN-klanten op pastebin.com, een website die wel vaker als etalage voor geslaagde hacks dient.

Het is niet zeker dat deze data uitgelekt zijn via de inbraak van januari. Maar KPN onderzoekt de gegevens en vindt overeenkomsten; er zitten inderdaad wachtwoorden van bestaande klanten tussen.

Om de veiligheid van de andere klanten te garanderen ziet de provider zich genoodzaakt om de mailservers af te sluiten. Twee miljoen klanten kunnen niet meer bij hun mail en worden gedwongen om hun wachtwoord te veranderen.

De maatschappelijke onrust breekt nu in alle hevigheid los. Klanten ventileren hun teleurstelling op Twitter, politici willen Kamervragen stellen.

Dan meldt zaterdagavond ICT-journalist Brenno de Winter dat de gegevens van de 537 KPN-klanten afkomstig zijn van een andere computerinbraak. Webwinkel Baby-Dump is vorig jaar al eens gekraakt en daar zijn inloggegevens van vele duizenden mensen gestolen. De hacker heeft, om KPN te sarren, een bestand gepubliceerd met een kleine selectie van kpnmail-adressen.

Maar hoe kan het dat de wachtwoorden overeen komen? Veel internetgebruikers hanteren voor alle diensten hetzelfde wachtwoord – een onveilige maar menselijke gewoonte. Bronnen bevestigen dat het uitgelekte bestand niet gestolen is van de eigen KPN-servers. In Den Haag, bij het crisisteam van KPN, klinkt een grote zucht van verlichting.