45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Interne netwerk KPN was met zakelijke glasvezelaansluiting te infiltreren

Een deel van het interne netwerk van KPN is te infiltreren geweest met behulp van een zakelijke glasvezelaansluiting van de internetprovider. In theorie was het daardoor mogelijk om internetverkeer van klanten af te luisteren. 

Dat schrijft de 'ethische hacker' die het lek geeft gevonden in een zelf opgesteld rapport. KPN erkent dat er problemen zijn geweest, maar die zijn volgens de provider inmiddels allemaal opgelost, en de beveiliging is opgeschroefd. Volgens het bedrijf zijn er geen klant- of persoonsgegevens in het geding geweest.

De anonieme onderzoeker beschrijft in het rapport hoe hij op het interne netwerk kwam door de glasvezelkabel rechtstreeks aan te sluiten op een switch (zeg maar een apparaat dat ervoor zorgt dat een gegevensbundel alleen naar het apparaat wordt gestuurd waarvoor het bedoeld is), in plaats van op daarvoor bedoelde apparatuur van KPN. Daardoor kon hij op servers komen die normaal niet voor het grote publiek bereikbaar zijn. Op één interne ftp-server waren de wachtwoorden van duizenden routers en andere netwerkapparatuur versleuteld met verouderde encryptiemethoden, en daardoor binnen enkele seconden te achterhalen.

De vinder heeft de problemen afgelopen juli bij KPN gemeld via de zogenoemde responsible disclosure-procedure: een speciale procedure waarbij overeen wordt gekomen pas in de openbaarheid te treden als de problemen zijn opgelost en alle lekken zijn gedicht. Via het Nationaal Cyber Security Centrum (NCSC) heeft KPN contact gezocht met de melder. De provider is vanaf dat moment bezig geweest met het oplossen van de problemen.

Alles bij de bron; Volkskrant