Nieuws
image

KPN stuurt wachtwoord en e-mailadres in één brief

vrijdag 17 februari 2012, 10:13 door Redactie, 22 reacties

KPN heeft klanten een brief met hun wachtwoord en e-mailadres gestuurd, tot woede van abonnees. De combinatie zou namelijk tot fraude kunnen leiden, zo meldt de Telegraaf vandaag. Naar aanleiding van de aanval op het bedrijf en het verschijnen van klantgegevens, besloot KPN de toegang tot twee miljoen webaccounts te blokkeren. Ook vroeg het klanten om hun wachtwoord te wijzigen. De wijziging zou per brief worden bevestigd.

"Iedereen die deze brief in handen krijgt, kan al mijn gegevens bij KPN inzien én veranderen of bestellingen op mijn naam doen”, aldus een klant tegen de krant. "Onbegrijpelijk", reageert een ander. "Ik krijg al jaren verkeerde post en kon nu zo in de KPN-gegevens van anderen kijken."

Brief
Vanaf zondag stopt KPN met het versturen van de bevestigingsbrief. "We zijn het met de kritiek van klanten eens", aldus een woordvoerder. "We gaan onze werkwijze in fasen aanpassen, want het is een omvangrijke operatie."

Wie zijn wachtwoord vergeet en opnieuw opvraagt, krijgt nog steeds het wachtwoord per brief toegestuurd, maar dan zonder e-mailadres. Inmiddels hebben 500.000 mensen na de eerste oproep hun wachtwoord gewijzigd, aldus het telecombedrijf op de eigen website.

Reacties (22)
17-02-2012, 10:16 door Anoniem
Ongelofelijk

Ten eerste koppel je die gegevens los
En ten tweede met een 2 pass verificatie...

Wat een farce...


http://www.telegraaf.nl/digitaal/11510372/___Geef_KPN_megaboete___.html
17-02-2012, 10:24 door Anoniem
EN je gaat ook geen volledig wacht woord naar iemand sturen zonder email adres.

Zijn ze besmet met het no brain virus ofzo?

Dat deel je in tweeen en ga nu maar uitzoeken hoe je dat moet doen want de oplossing is zo simpel...Maar ga nobrains die op een verkeerde stoel zitten niet alles voorkauwen.
17-02-2012, 10:27 door Anoniem
Je kan hier heel veel over zeggen - maar dat is allemaal kansloos - Het zelfdenkend en oplossend vermogen van KPN is er blijkbaar niet.

Tegen zoveel domheid kan je je niet wapenen ...


DDK
17-02-2012, 10:43 door Anoniem
*Facepalm*

meer heb ik niet toe te voegen.
17-02-2012, 10:45 door Anoniem
De ene brief gaat naar jou en een kopie gaat naar..........AIVD?
17-02-2012, 10:45 door Anoniem
Je vraagt je dan af... of ze daar wel iets van informatiebescherming begrijpen. Het had een overheids-fuckup kunnen zijn...
17-02-2012, 10:49 door Anoniem
Dit doen KPN en andere bedrijven toch al jaaaaaaaaaaaren?! Maar toen wilde de telegraaf en andere media er niet over schrijven. Nu het bedrijf al fout in het nieuws is haken sommige zogenaamde journalisten plots graag in om nog even te smeren. Wees dan eerlijk en open! Dit gecombineerd versturen beurt al jaaaaaaaren!!! En zo'n brief verdwijnt waarschijnlijk om juridische redenen ook nog eens bij een bedrijf (en wellicht de verzendende organisatie) in een (digitaal) archief - waarschijnlijk ooit nog leesbaar en bruikbaar voor een hackert....
17-02-2012, 10:57 door User2048
Waarom wordt een wijziging van een wachtwoord überhaupt per brief bevestigd? Dat is toch nergens voor nodig?
17-02-2012, 11:00 door Anoniem
Ik heb recent iemand aan een xs4all abonnement geholpen. Die stuurden de naam van het hoofdaccount en het wachtwoord daarop in aparte enveloppen... bezorgd door dezelfde postbode op dezelfde dag.

Als je je KPN wachtwoord hebt gereset via de speciale server van KPN, dan krijg je trouwens geen bevestigingsbrief.
Wat ik wel gaar zou vinden (als dit idd zo is), is dat ze het wachtwoord zelf sturen dat je zelf hebt gekozen. Dit wachtwoord is immers al bekend bij de klant neem ik aan? Beetje administratie aan de kant van de klant kan geen kwaad lijkt me.
"Het door u gekozen wachtwoord wat u met behulp van uw oude wachtwoord heeft veranderd, is op onze servers ingesteld. Bel bij vermoeden van fraude gratis met de helpdesk van KPN. Wij hopen u hiermee van dienst te zijn".
17-02-2012, 11:06 door Mozes.Kriebel
Ik heb 2 mailboxen bij KPN, verder niks. Ik wilde uiteraard de wachtwoorden wijzigen maar kwam niet op de site die daarvoor bedoeld is. Navraag bij de helpdesk; men heeft de site alleen toegangkelijk gemaakt voor source IP-adressen uit de KPN subnetten, was het verhaal. En ik heb mijn aansluiting bij een andere provider. Dus wordt mij een brief gestuurd.
Nu blijkt dat ik inmiddels wel online m'n wachtwoord kan wijzigen, maar het huidige wachtwoord is al gewijzigd door de helpdesk. Dus toch een brief.
Zelden zo'n major cluster-fail gezien in IT-land. De overheidsroots bij KPN blijven zichtbaar.
17-02-2012, 11:11 door Anoniem
Oh - en niet vergeten - KPN toont hiermee aan dat wachtwoorden van klanten niet versleuteld zijn ?

of iig door KPN te de-crypten ..

ik vraag me af wat de grootste faal is - de technische of de communicatieve ....

DDK
17-02-2012, 11:14 door Anoniem
What comes around, turns around. Het is allemaal oorzaak en gevolg. Je kan geen acties ondernemen zonder een reactie te verwachten. Ook niets doen is een actie.
17-02-2012, 11:20 door Anoniem
"Waarom wordt een wijziging van een wachtwoord überhaupt per brief bevestigd? Dat is toch nergens voor nodig?"

Indien KPN de wachtwoorden van klanten wijzigt, dan moeten ze de klanten daarover toch informeren ? Hoe weet je anders welk wachtwoord je moet gebruiken ?
17-02-2012, 11:37 door [Account Verwijderd]
[Verwijderd]
17-02-2012, 13:05 door Anoniem
Waarom wil KPN het wachtwoord zowiezo weten? Het is toch het persoonlijke wachtwoord van de klant?! Dit soort gegevens sla je op als hash en niet achterhaalbaar door je eigen personeel. Als er fraude plaatsvindt met een mailadres van een klant, ben je in principe als provider ook verdacht, aangezien jij ook toegang hebt tot de mailfaciliteiten van die klant. Lijkt me niet echt handig.
En dan wil ik nog niet eens beginnen over wat de klant ervan vindt / zou moeten vinden.
17-02-2012, 13:10 door User2048
Door Anoniem: "Waarom wordt een wijziging van een wachtwoord überhaupt per brief bevestigd? Dat is toch nergens voor nodig?"

Indien KPN de wachtwoorden van klanten wijzigt, dan moeten ze de klanten daarover toch informeren ? Hoe weet je anders welk wachtwoord je moet gebruiken ?

Als KPN het wijzigt dan zit er wat in. Maar in het artikel staat:

Ook vroeg het klanten om hun wachtwoord te wijzigen. De wijziging zou per brief worden bevestigd.

Het lijkt dus zo te zijn dat de klant zelf zijn wachtwoord wijzigt en het dan per post thuisgestuurd krijgt.
17-02-2012, 14:20 door Anoniem
KPN is zo langzamerhand de NS van de IT-sector. Wat een onnnozelaars.
17-02-2012, 15:24 door Anoniem
3 wachtwoorden aangepast maar slechts 2 brieven met email adres + nieuwe wachtwoord ontvangen, waar is de derde brief?? Niet te geloven wat een prutsers!

Verder natuurlijk belachelijk dat de wachtwoorden niet als hash worden opgeslagen, te decrypten zijn en dan ook nog eens ongevraagd per post worden verzonden.
17-02-2012, 15:38 door Anoniem
denk niet dat het alleen kpn is toen ik internet nam van upx kreeg ik ook al me gegevens in 1 brief ik denk dat heel veel bedrijven doen.
17-02-2012, 17:01 door Anoniem
De directeur KPN ontving zelf ook een brief:

Uw email-adres; directeur@knp.nl
Uw wachtwoord: Oenkwadraat
17-02-2012, 17:02 door Anoniem
waar maken we ons druk over zeg, tjonge jonge
18-02-2012, 10:38 door Anoniem
Een wachtwoord dient uitsluitend - als geheim - bij de houder van het account beschikbaar te zijn en mag derhalve nooit in het authenticatiesysteem, of waar dan ook, zijn opgeslagen. Voor authenticatie volstaat de opslag van een cryptografische hash (een sterke met salt) van het wachtwoord.

Moet een wachtwoord automatisch worden gegenereerd - i.c. de KPN mail problemen leek dat nodig - en moet dat wachtwoord dan vervolgens aan de houder bekend worden gemaakt, dan moet het generatieproces het wachtwoord afdrukken op een gesloten carbon-envelop die aan de accounthouder kan worden gestuurd. Ongeveer zoals ook met pincodes bij pinpassen wordt omgegaan.
Slecht de met het wachtwoord corresponderende hash benodigd voor authenticatie wordt opgeslagen.

Kortom, het kan op een behoorlijke wijze, opslag van wachtwoorden is idioot, en ongelooflijk dat KPN dit zo heeft gedaan, bij KPN zijn er echt wel geschoolde mensen die weten hoe het wel moet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure