Toegang tot gevoelige informatie van KPN door vergeten laptop

Opgeslagen wachtwoorden

Doordat voor veel websites de wachtwoorden waren opgeslagen in de browser konden de journalisten gemakkelijk bij bedrijfswebsites en het intranet van KPN. Als test hebben zij dit ook geprobeerd en ze kwamen erachter dat er zelfs geen tweestapsverificatie beveiliging was. Hierdoor konden ze met de achtergelaten laptop bij klantgegevens van zestienhonderd klanten. Hieronder vallen zelfs vertrouwelijke documenten over de Nederlandse overheid en de NAVO.

Via de achtergelaten laptop konden de journalisten ook gemakkelijk bij dossiers van KPN-medewerkers. Persoonlijke data als contactgegevens en pasfoto’s waren gewoon in te zien.

Mogelijke gevolgen

Een dergelijk lek kan in de handen van criminelen goud waard zijn. Met de gegevens van KPN-klanten kan gerichte phishing worden gepleegd. Wanneer de criminelen dan uit naam van de KPN klanten benaderen over, bijvoorbeeld openstaande bedragen zullen mensen eerder geneigd zijn te betalen als ze ook daadwerkelijk klant zijn bij KPN. De criminelen zouden zo alle nodig informatie hebben om mensen succesvol voor de gek te houden.

De data over KPN-werknemers zou het hackers ook nog eens makkelijk maken om CEO-fraude te plegen. Bij dergelijke scams doen de hackers zich voor als een hooggeplaatste medewerker van een bedrijf om zo de financiële afdeling onder druk te zetten om snel een betaling te regelen. Hoe meer informatie ze over medewerkers hebben hoe beter ze dit type scam uit kunnen voeren.

Reactie KPN

KPN zegt het incident te onderzoeken en belooft beterschap. Toch geven ze ook aan dat ze regelmatig hun beveilig aanpassen op nieuwe ontwikkelingen. Een voorbeeld is dat het intranet van het bedrijf niet te bereiken is op apparatuur die niet van KPN is. Kijkende naar het incident liggen oplossingen als verplichte wachtwoordbeveiliging en tweestapsverificatie ook voor de hand. KPN heeft het lek gemeld bij de Autoriteit Persoonsgegevens.