image

Trouw: publiceren uit onbeveiligde KPN-laptop dient publiek belang

maandag 17 februari 2020, 14:28 door Redactie, 19 reacties

De afgelopen weken heeft dagblad Trouw informatie gepubliceerd afkomstig van een onbeveiligde KPN-laptop en dat is vanwege het publiek belang toegestaan, zo laat de krant zelf weten. Een door KPN ingehuurde monteur liet een onbeveiligde laptop met gevoelige informatie achter bij een klant. De machine werd vervolgens niet opgehaald, omdat de monteur niet meer wist waar hij die had achtergelaten. De klant bracht de laptop naar Trouw.

Inloggegevens van allerlei bedrijfswebsites waren in de browser van de laptop bewaard. Via deze gegevens was het mogelijk om toegang tot het intranet TeamKPN te krijgen. Het gebruik van tweefactorauthenticatie bleek niet nodig. Via het intranet kon Trouw allerlei vertrouwelijke documenten inzien, zoals organisatieschema's met verwijzingen naar de AIVD, het ministerie van Defensie en het Koninklijk Huis.

Met de informatie die Trouw via de laptop verkreeg werden in totaal drie verhalen gepubliceerd. Eén over de vergeten laptop, een tweede verhaal over een door KPN ontwikkelde app voor Chinese toeristen die daarmee zijn te volgen en een derde verhaal over hoe KPN de aanleg van glasvezelkabel door concurrenten frustreerde. De laptop is inmiddels aan KPN teruggegeven. Daarnaast hebben de krant en telecomprovider morgen overleg over de situatie.

Ict-advocaat Noud van Gemert laat aan het AD weten dat de kans groot is dat Trouw computervredebreuk heeft gepleegd. "Je krijgt een laptop waar je niet in hoort, er is enige mate van beveiliging en het betreft overduidelijk geen openbare info." De twee uitzonderingen op deze regel gaan volgens Van Gemert niet op. "De ene is noodtoestand of psychische overmacht. Journalistieke nieuwsgierigheid valt hier niet onder." De advocaat stelt dat KPN een sterke zaak heeft. "Als ze aangifte zouden doen en de journalist bij mij aanklopt, zou ik vertellen dat dit een lastige zaak om te verdedigen is."

Voor de publicaties had Trouw overleg met juristen en advocaten. In een brief van de hoofdredactie laat de krant weten dat de berichtgeving zeker wel valt te verdedigen. Er is namelijk sprake van een "zwaarwegend publiek belang", schrijft hoofdredacteur Cees van der Laan in de brief. "Een onbeveiligde laptop met onbeveiligde toegang tot het KPN-intranet vol met gevoelige informatie en de samenwerking met een groot Chinees bedrijf, waardoor Chinese veiligheidsdiensten potentieel landgenoten in de gaten kunnen houden, zijn zaken van groot publiek belang." Ook over de andere kwesties is maatschappelijk debat geweest en de verhalen van Trouw leveren daar een bijdrage aan, stelt Van der Laan verder.

Reacties (19)
17-02-2020, 14:44 door Anoniem
De privacywet gaat voor journalisten vaak niet op.
17-02-2020, 14:53 door Killjoy
Lastig lastig, aan de ene kant zou ik de laptop hebben uitgezet, KPN gebeld en hem dan op laten halen zonder er in te kijken want het gaat mij niets aan.
Aan de andere kant, wat naar buiten is gekomen is ook wel belangrijk genoeg naar mijn mening om het inderdaad te publiceren, al denk ik wel dat ze bij Trouw mogelijk illegale handelingen hebben uitgevoerd om aan deze informatie te komen.

Neemt niet weg dat deze monteur oerdom is geweest en dat de ICT afdeling bij KPN te kort is geschoten bij de beveiliging.
17-02-2020, 14:55 door Erik van Straten
Ik ben het volstrekt eens met Trouw. Onder het tapijt vegen leidt nooit tot verbeteringen.
17-02-2020, 15:25 door Anoniem
"Een onbeveiligde laptop met onbeveiligde toegang tot het KPN-intranet vol met gevoelige informatie en de samenwerking met een groot Chinees bedrijf, waardoor Chinese veiligheidsdiensten potentieel landgenoten in de gaten kunnen houden, zijn zaken van groot publiek belang."
De onbeveiligde laptop was van "een door KPN ingehuurde monteur", niet van KPN zelf. Wat je KPN kwalijk kan nemen is dat ze hun uitbesteding niet goed op orde hebben, niet de beveiliging van de endpoints (deze endpoint was immers niet van KPN).

Het feit dat ze vervolgens op TeamKPN hebben kunnen kijken komt (gok ik) doordat de betreffende monteur de credentials gewoon in de browser liet onthouden. Trouw heeft hiermee waarschijnlijk ook op het Tweakers.net of Facebook account van de monteur kunnen inloggen. Ze hebben het hierbij niet gelaten, ze zijn verder gaan graven. Je komt dan inderdaad al bijzonder vlot op computervredebreuk. Het "zwaarwegend publiek belang" kwamen ze pas achter nadat ze computervredebreuk hadden gepleegd, niet daar voor.
17-02-2020, 15:39 door Anoniem
Naar mijn mening zijn ze de vrijheid die ze hebben te buiten gegaan op het moment dat ze zijn gaan rondsnuffelen. Als een database gehackt is kan je dat ook bewijzen door 1 record te laten zien, als je de hele database binnenslurpt ga je te ver. Zo hier ook: Je kan aantonen dat de laptop niet goed beveiligd was en dat je bij info kan, prima. Ga je daarna verder dan bevind je je op z'n minst op glad ijs, en ik ben eigenlijk wel benieuwd hoe glad dat ijs is als het tot een rechtszaak zou komen ...
17-02-2020, 15:42 door ZiZi
Door Killjoy:
Neemt niet weg dat deze monteur oerdom is geweest en dat de ICT afdeling bij KPN ernstig te kort is geschoten bij de beveiliging.
17-02-2020, 15:56 door Anoniem
Gemaakte fouten:

Laptop niet versleutelt
Laptop vergeten
Te weinig moeite gedaan deze weer op te sporen
Wachtwoorden opgeslagen in de browser
Geen 2FA indien connectie gemaakt van buiten het eigen KPN netwerk.
17-02-2020, 16:25 door Anoniem
Prachtige data voor journalisten maar helaas ... na dinsdag is het voorbij .


en ja


dat is maar beter ook


Dit is een onherstelbare fout .
17-02-2020, 18:12 door botbot
Bij mijn werkgever. Stap 0. Kies een laptop uit. Stap 1. BIOS startup wachtwoord. 2. Encryptie van volledige harddrive. 3. Encryptie van homedir waardoor als je niet ingelogd bent maar de computer onverhoopt wel aan staat op een plek waar je hem bent vergeten. 4. Laptop altijd locken als je langer dan twee maar korter dan 35 minuten (lunch) weggaat van je werkplek. 5. Laptop UIT als je langer weg gaat. 5. Overal, maar dan ook overal waar het mogelijk is 2FA. Gitlab, Overal op andere accounts. waar mogelijk 6. Private key *met* sterk wachtwoord alleen inloggen met public/private key waar mogelijk.

Zo moeilijk is het niet. Het is gewoon onwetendheid van de leidinggevenden. Bij een telecom en ICT bedrijf als KPN die zoveel invloed heeft op het leven van burgers vind ik dat al deze zaken niet zijn gestandariseerd van groot maatschappelijk belang. Zeker als je dan daarnaast ook nog eens de inhoudt ziet waarmee ze zich bezig houden. Concurrentie ondermijning, chinese contacten met potentiele veiligehidsrisico's voor de samenleving,. Etc.

Pech gehad, met hun computervredebreuk. Hang maar aan de schandpaal.
17-02-2020, 18:51 door Planeten Paultje - Bijgewerkt: 17-02-2020, 18:55
KPN zit nu tegen het Streisand-effect aan te hikken. Als ze naar de rechter stappen krijgt Trouw een fantastische reclame voor hun KPN-artikelen en wordt de schade nog veel groter voor KPN. Ik betwijfel echter of het zal overwaaien als ze niet naar de rechter stappen; KPN heeft de laatste tijd laten zien dat ze niet veel bakken van crisis preventie en -management. Bokken schieten zijn ze goed in. Misschien kunnen ze beter een vleesverwerkingsbedrijf beginnen.

En verder ben ik van mening dat FREEDOM INTERNET een prima opvolger van XS4ALL zal worden.
17-02-2020, 20:19 door gbrugman
Hopelijk leert KPN van deze fouten en zorgen ze dat hun informatie en vooral die van klanten, zoals schema's en infrastructuur, goed beveiligd zijn en enkel met MFA toegankelijk zijn en standaard versleuteld.
17-02-2020, 22:09 door Anoniem
... Via deze gegevens was het mogelijk om toegang tot het intranet TeamKPN te krijgen. Het gebruik van tweefactorauthenticatie bleek niet nodig.

Hallo KPN. Wordt eens wakker. De Billen zijn gebrand en nu snel op de blaren gaan zitten en huili huili doen.
Tip: Even 2FA aanzetten morgen?
18-02-2020, 10:12 door Anoniem
Tja, ik vraag me soms af of het echt wel het maatschappelijk belang dient dit soort Journalistieke streken.
Ik zou het natuurlijk nu ook van maatschappelijk belang vinden om het prive leven van deze journalist uit te pluizen, want wat heeft hem bewogen dit te doen, kunnen we hem vertrouwen met de inhoud, heeft hij deze gemanipuleerd?
18-02-2020, 11:25 door Anoniem
Door Anoniem: Naar mijn mening zijn ze de vrijheid die ze hebben te buiten gegaan op het moment dat ze zijn gaan rondsnuffelen. Als een database gehackt is kan je dat ook bewijzen door 1 record te laten zien, als je de hele database binnenslurpt ga je te ver. Zo hier ook: Je kan aantonen dat de laptop niet goed beveiligd was en dat je bij info kan, prima. Ga je daarna verder dan bevind je je op z'n minst op glad ijs, en ik ben eigenlijk wel benieuwd hoe glad dat ijs is als het tot een rechtszaak zou komen ...

Dit geldt voor een datalek. Als je 1 record kunt laten zien met persoonsgegevens is er een datalek.

Hier was met 1 record niet aan te tonen dat er gevoelige informatie te vinden was. Dat is wat journalisten doen. Ze hebben een strohalm en kijken of er meer aanhangt. En als ze iets vinden, moeten ze kijken of er nog meer belangrijke informatie te vinden is.

Lees het boek van Huib Modderkolk maar eens.

Ik vind het wel vreemd dat een willekeurige monteur bij informatie kan komen die aantoont dat KPN andere kabelaars frustreert. Ja, dat weten wel al 20 jaar, maar het is vreemd dat er nu pas bewijs van beschikbaar komt.

Peter
18-02-2020, 11:48 door Anoniem
Wat is nu de reden dat een willekeurige monteur zowiezo toegang heeft tot al die confidentiele informatie? Is dat nodig voor zijn werk?
18-02-2020, 12:45 door Anoniem
De zinsnede "groot publiek belang" lijkt mij in deze erg belangrijk.

- een door KPN ontwikkelde app voor Chinese toeristen die daarmee zijn te volgen[...] waardoor Chinese veiligheidsdiensten potentieel landgenoten in de gaten kunnen houden.

- hoe KPN de aanleg van glasvezelkabel door concurrenten frustreerde.

KPN moet zich diep, HEEL diep schamen!
18-02-2020, 12:54 door Anoniem
Stel dat ik die laptop had gevonden maar mijn mond had gehouden, was het dan minder erg geweest, puur omdat het niet in de pers was gekomen? Dit is hooguit een deuk in hun 'groene duurzame' imago (serieus, bel ze maar eens op...) en bevat mogelijk een schending van de AVG. Ook is dit een wake-up call voor de genoemde partijen om hun third-party exposure beter in beeld te brengen. Maar verder is hier maar één oplossing voor: het aanscherpen van de rechten en toegang tot de genoemde gegevens (full device mamagement).
19-02-2020, 16:37 door Anoniem
Hulde aan Trouw.
Fijn dat zij lef hebben om publiek belang te dienen, en er risico's voor durven te nemen.
En hulde aan de rechtstaat dat dit (nog) kan hier.

versus... schande dat volgen van Chinezen toeristen... schande - helemaal i.c.m. met de "foei Huawei" laster-campagne.
20-02-2020, 18:49 door Anoniem
Als je een trouw laptop te pakken krijgt gewoon op deze manier doorgeven aan een andere journalistieke partij. Dient ook publieke belangen. Dan zouden ze wel anders piepen bij Trouw.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.