Planet lekt persoonsgegevens alle abonnees *update*
Internetprovider Planet heeft door een tikfout alle persoonsgegevens van haar abonnees op het internet gelekt, en besloot pas na twee weken maatregelen te nemen. Door een tikfout belandde een backup van de klantgegevens in de webruimte van een abonnee, die bijna dezelfde naam als de systeembeheerder had die de backup uitvoerde. Het gaat om zo'n 2,5 miljoen klantnummers, e-mailadressen, aliassen en versleutelde wachtwoorden van particuliere en zakelijke Planet-klanten.
Wat voor hashing algoritme Planet gebruikt is niet bekend, maar de klant die alle abonneesgegevens ontving kan dit aan de hand van zijn eigen wachtwoord en hash en het programma hashmaster achterhalen.
Ondanks het inlichten van de provider reageerde die niet op de ontdekking, waardoor de klant zich genoodzaakt zag het in de openbaarheid te brengen. De ISP heeft nu de backup routine verboden en noemt het fout en stom dat het heeft kunnen gebeuren. KPN zal de klant vragen of hij de backup wil verwijderen.
Update 15:43
We hebben zelf ook een woordvoerster van KPN gesproken, omdat het toch zeer schokkend te noemen is dat een professionele organisatie op zo'n manier met klantgegevens omgaat. Volgens woordvoerster Eke Wolters moest de systeembeheerder een backup maken en gebruikte hij hiervoor de webspace van de provider, waarbij het dus misging. Opmerkelijk is dat dit helemaal geen standaard procedure is en de beheerder uit zichzelf handelde. Het is ook nooit eerder voorgekomen en nu toevallig ontdekt, aldus Wolters, die benadrukt dat het echt een eenmalige actie betreft.
De KPN is niet van plan om al haar klanten in te lichten, omdat de wachtwoorden versleuteld zijn, en het daarom niet noodzakelijk is dit te doen. Wel gaat de provider in de vorm van nazorg de afdeling die door de Planet klant werd gewaarschuwd nogmaals aansporen om dit soort meldingen direct door te sturen naar het security team van de provider.
Zeker allemaal in de group root.....of administrator hihi
Scheiding van taken en werkzaamheden is natuurlijk daar een
rommeltje. Of de systeembeheerder maakt OOK websites en doet
de administratie of andersom..hahahaha
Hewt zal wel een hele kleine organisatie zijn ;)
i.p.v. \server1backup gooi ik het ook op \server34ftpusers~pietjepuk
De letters zitten ook zo dicht bij elkaar he? ;-)
Prutsers! Wilde de admin misschien de gevens stiekem verhandelen?? Ik
snap namelijk niet waarom hij ze uberhaupt zou backuppen naar zijn eigen
webruimte.
Zeker omdat ze pas na een erg lange tijd gereageerd hebben. (lees: pas
nadat het publiekelijk bekend geworden is)
Zal idd wel een rechten kwestie zijn, hehehe.
maar een standpunt nemen doen ze niet.
dan gaat de backup in de p2p dir toe :)
ze hun wachtwoorden al dan niet veranderen.
Voor diegenen die ik ken met zo'n abonnement ga ik het wel aanraden en
waarschijnlijk (zelf) ook uitvoeren :(
wachtwoorden versleuteld zijn, en het daarom niet
noodzakelijk is dit te doen."
Hoe ongelofelijk dom en naief kan je zijn. Met rainbowtables
en een leuke wordlist is een behoorlijk percentage van deze
accounts in luttele uren te hacken.
casu...operating system.
Data van de klanten is een administrative kant en die zijn
zelf verantwoordelijk voor hun data.
IGaat er dan niemand meer naar een informatica opleiding
waar systeem management wordt onderwezen... Een systeem
beheerder hoeft niet overal bij dat bepaald een security
administrator.
Dit is toch geen midden en klein bedrijf maar een grote
organisatie.
Oh zulke tikfouten maak ik ook regelmatig.
i.p.v. server1ackup gooi ik het ook op
server34tpusers~pietjepukr
De letters zitten ook zo dicht bij elkaar he? ;-)
Prutsers! Wilde de admin misschien de gevens stiekem
verhandelen?? Ik
snap namelijk niet waarom hij ze uberhaupt zou backuppen
naar zijn eigen
webruimte.
je hebt geen idee welke directories er gebruikt zijn, dus
zo'n reactie is volledig zinloos.
en de beheerder uit zichzelf handelde."
Inderdaad uitzonderlijk. Een backupje voor eigen gebruik, of
gewoon omdat er helemaal geen procedure is?
lichten, omdat de wachtwoorden versleuteld zijn, en het
daarom niet noodzakelijk is dit te doen.
verspreid je de backup over niet gebruikte www directory van
je klanten.
Tja kwaliteit kost geld, maar uiteindelijk is goedkoop toch
duurkoop!
Marcel
Oh zulke tikfouten maak ik ook regelmatig.
i.p.v. \server1backup gooi ik het ook op \server34ftpusers~pietjepuk
De letters zitten ook zo dicht bij elkaar he? ;-)
Prutsers! Wilde de admin misschien de gevens stiekem verhandelen?? Ik
snap namelijk niet waarom hij ze uberhaupt zou backuppen naar zijn eigen
webruimte.
[/quote]
Zoals op andere nieuwssites te lezen is lijkt de naam van de klant wiens
webspace gebruikt is erg veel op de naam van de betreffende
systeembeheerder...
kunnen schrijven in een directory van een willekeurige klant?
voorval dat ze 'per ongeluk maar helaas pindakaas' niet 4
dagen maar 4 maanden aan telefoongegevens aan justitie had
gegeven. Omdat dat over een journalist ging stond de media
op de achterste benen en kwam KPN uiteindelijk met een
excuusmededeling. Helaas gaat het hier slechts om een paar
miljoen klantgegevens barstensvol met hoofdaccounts, dus
email gegevens, versleutelde wachtwoorden waar er
gegarandeerd een flink van binnen een uur te achterhalen
zijn, persoonlijke gegevens als dienstverleningvoorkeuren
enz. KPN gaat hier natuurlijk geen publiek melding van
maken, of zelfs maar de klanten informeren over hun fout en
de mogelijke gevolgen. Stel je toch eens voor dat je als
groot bedrijf een verantwoordelijkheid moet nemen. Voor mij
valt alleen zo'n houding al in de categorie zwaar te
straffen, naast nog gedaan moet worden aan het straffen voor
de kapitale fout om zo met persoonsgegevens om te gaan. Dat
mag van mij per klant bestraft worden, anders valt er in het
vervolg erg 'goedkoop' onder nonchalant gedrag uit te komen.
Welke rechten had hij nodig om bij de betreffende data te komen en te kunnen schrijven in een directory van een willekeurige klant?
Oh zulke tikfouten maak ik ook regelmatig.
i.p.v. server1ackup gooi ik het ook op
server34tpusers~pietjepuk
je hebt geen idee welke directories er gebruikt zijn, dus
zo'n reactie is volledig zinloos.
Een tikfout is als je een p typt in plaats van een o, een n
in plaats van een m, kortom: kleine foutjes. Het kan niet
zijn dat de backups gemaakt worden naar een directory die zo
dicht bij de homedirectories van de gebruikers ligt, dat één
enkele typefout al betekent dat je beveiliging
gecompromitteerd wordt... Dus ja, de reactie is terecht.
Online Backup van PerfectBackup waarbij de gegevens gewoon
dagelijks gecodeerd offsite worden bewaard. Je zult dan
nooit dit soort fouten kunnen maken. Heel vreemd dat zo'n
organisatie zulke grove fouten maakt! Dat Planet niet de
eigen software van Kpn Back-up online gebruikt zegt dus
blijkbaar al genoeg...
ze kunnen het bestand bij de klant zelf toch wel verwijderen?
De betreffende persoon heeft bij zo'n blunder echt een
ontslag verdient of een flinke degradatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
