image

Volkskrant: Huawei had toegang tot gegevens twee miljoen Telfort-klanten

maandag 29 maart 2021, 09:51 door Redactie, 19 reacties

Telecomgigant Huawei had onbeperkt toegang tot de klant-en facturatiegegevens van twee miljoen Telfort-klanten, zo stelt de Volkskrant op basis van een vertrouwelijk KPN-rapport dat het in handen heeft. Telfort was een dochterbedrijf van KPN dat vorig jaar werd opgeheven.

In 2011 deed KPN tijdens een reguliere audit onderzoek naar een nieuwe klant- en facturatieomgeving die Huawei had ontwikkeld en beheerde. Uit het onderzoek bleek onder andere dat Huawei geregeld bestanden uit de klanten­omgeving van Telfort haalde. Doordat er niets werd gelogd was het niet mogelijk om vast te stellen welke bestanden de telecomgigant kopieerde, aldus de Volkskrant.

Uit de audit bleek dat 26 Huawei-accounts toegang tot de klantomgeving hadden. Tevens kon de telecomgigant via een database klantgegevens inzien, wijzigen of verwijderen. Ook bleek Huawei een script te hebben geïnstalleerd om bestanden naar de productieomgeving te verplaatsen. Dit gebeurde allemaal zonder logging.

HP was als service integrator betrokken bij de overstap naar de nieuwe door Huawei ontwikkelde klant- en facturatieomgeving. Huawei werd meerdere keren door HP gevraagd de toegang te wijzigen of af te sluiten maar daarop kwam geen reactie. Deze zaken zorgden voor ‘onveiligheid, instabiliteit en/of het risico op datalekken', zo stelden de onderzoekers van KPN.

Volgens KPN is er geen enkele aanleiding om aan te nemen dat er gegevens van de twee miljoen klanten, die Telfort op dat moment had, zijn gestolen. Alle verbetermaatregelen die in het rapport werden voorgesteld zijn in de jaren erna opgevolgd en doorgevoerd, zo laat een woordvoerder verder weten. Het klantensysteem zelf is inmiddels niet meer in gebruik. Huawei kon niet op het rapport reageren omdat het hier naar eigen zeggen niet mee bekend is en nooit namens klanten spreekt.

Reacties (19)
29-03-2021, 10:09 door Anoniem
Alle verbetermaatregelen die in het rapport werden voorgesteld zijn in de jaren erna opgevolgd en doorgevoerd

En dat is dus een paar jaar te laat. Waarom is het toch zo lastig om alles in één keer goed te doen? Al is het maar het minimale zonder de perfecte set aan use/ abuse cases die worden gemonitored. Auditing is de pijler bij uitstek van de "detect" fase. En dan doen we dat maar niet. Echt, ongelooflijk hoe onwaarschijnlijk amateuristisch veel bedrijven nog steeds bezig zijn met informatiebeveiliging. En dat bij een groot bedrijf dat voldoende security mensen in dienst heeft en heel goed weet hoe het wel moet. Misschien helpt het aanklagen van mensen vanwege grove nalatigheid. Gaat dan het kwartje eindelijk vallen?
29-03-2021, 10:25 door Anoniem
Fijn om te horen dat de complottheorien soms ook wel realiteit zijn en geen theorien!!

Had je iets anders veLwacht bij de Chinees??
29-03-2021, 10:31 door Anoniem
De Nederlandse overheid heeft destijds Reaal verkocht aan een Chinees bedrijf. Hoezo data richting China?

Bron: https://www.nu.nl/economie/3993606/staat-verkoopt-reaal-150-miljoen-euro-chinese-verzekeraar.html
29-03-2021, 10:32 door Anoniem
Is het uitgesloten dat dit nog gebeurt,ik denk
van niet,maar wel als burgers gezamelijk zouden stoppen
met het gebruik hiervan,en aangezien dat niet gebeurt,
laten we ons gewoon naaien,we doen het zelf,
dus verwijten maken naar de overheid of de tech-bedrijven is niet helemaal terecht.

The Matrix
29-03-2021, 11:04 door Anoniem
Nee, dit soort toegang ontstaat 'per ongeluk'. Natuurlijk hebben ze geen interesse in klantgegevens. Waarom zouden ze? Of ben ik nou heel naief!?
29-03-2021, 11:43 door Anoniem
Door Anoniem: Fijn om te horen dat de complottheorien soms ook wel realiteit zijn en geen theorien!!

Had je iets anders veLwacht bij de Chinees??

Ik verwacht ongeveer hetzelfde van *iedere* systemintegrator of advanced services support toko.
Als je een duur genoeg support contract hebt wil/kan Cisco ook een monitoring/analyse server in je netwerk plaatsen en trekt alle configs binnen voor analyse.
29-03-2021, 11:43 door Anoniem
Door Anoniem: Fijn om te horen dat de complottheorien soms ook wel realiteit zijn en geen theorien!!

Had je iets anders veLwacht bij de Chinees??

Ik vind het wel een vorm van selectieve verontwaardiging om dit soort zaken te veroordelen als het "van de Chinees" komt
maar er niks van te vinden als het Amerikaanse bedrijven zijn.

Ook wordt het vaak simpelweg gelegaliseerd door het afsluiten van een "verwerkersovereenkomst" ofzo terwijl dat natuurlijk
alleen maar een papiertje is wat niks zegt over wat er werkelijk gebeurt. Maar dan is het ineens allemaal in orde.

Eerlijk gezegd zit ik er niet zo mee als een Chinees bedrijf mijn naam en telefoonnummer heeft. Minder in ieder geval met
dat een Amerikaans bedrijf alles weet van wat ik op internet doe.
29-03-2021, 11:54 door Anoniem
Nou nou.. je hebt als leverancier toegang tot een systeem wat je remote moet supporten en remote onderhoudt....
Gek als je er dan bij kunt komen...
Hoezo storm in glas water?

Gaan we nu Google stenigen? Die haalt elke 5 minuten data van mijn telefoon af en ze leveren GEEN support op mijn foon, dat doet Samsung, dus wat heeft Google op mijn foon te zoeken?
29-03-2021, 11:59 door Anoniem
Door Anoniem: Is het uitgesloten dat dit nog gebeurt,ik denk
van niet,maar wel als burgers gezamelijk zouden stoppen
met het gebruik hiervan,en aangezien dat niet gebeurt,
laten we ons gewoon naaien,we doen het zelf,
dus verwijten maken naar de overheid of de tech-bedrijven is niet helemaal terecht.

The Matrix

Wie is verantwoordelijk voor de beveiliging van die data? De bedrijven zelf toch? Dan is dat verwijt aan hun adres helemaal terecht.

En bedoel je nou stoppen met het gebruik van een mobiele telefoon? Zo ja: wil je terug naar 1980? Hoe zie je het voor je met MFA via de authenticator of SMS? Geen MFA meer? Terug naar de cheques in plaats van een bank app? Bereikbaarheid van je partner, kinderen, ouders of vrienden voor het geval hen wat overkomt? Geen telefonisch contact meer met wie dan ook wanneer je je huis uit stapt? Alles uitprinten in plaats van je mailtje met barcode laten zien bij een bedrijf? En wat lost dat op? Dan kunnen we ook wel stoppen met vaste telefonie, want ook die facturatiegegevens kunnen in handen vallen van derde partijen.
29-03-2021, 12:44 door Anoniem
"Huawei werd meerdere keren door HP gevraagd de toegang te wijzigen of af te sluiten maar daarop kwam geen reactie..."

Als dit waar is, heeft Huawei deze verzoeken dan met opzet genegeerd?
Zo ja, dan ligt hier wat mij betreft subiet de integriteit van Huawei ter discussie.
29-03-2021, 13:32 door Anoniem
Door Anoniem: "Huawei werd meerdere keren door HP gevraagd de toegang te wijzigen of af te sluiten maar daarop kwam geen reactie..."

Als dit waar is, heeft Huawei deze verzoeken dan met opzet genegeerd?
Zo ja, dan ligt hier wat mij betreft subiet de integriteit van Huawei ter discussie.

Mwoah. Ben benieuwd naar de langere mailketen . Het klinkt als een heel selectieve quote uit een cover your ass mail .

Zou me niks verbazen als er een wedervraag kwam over prioriteitsstelling, of projectcode waarop het meerwerk geschreven kan worden, of acceptatie dat garanties van responstijden komen te vervallen wanneer er geen toegang is, waarop HP weer stil bleef - want ZO belangrijk was het ook weer niet , ze wilden alleen CYA - de vraag gesteld hebben.
Het onderwerp maakt niet zo veel uit, maar het fenomeen dat in zo'n project met een aantal belangen allerlei dingen gedaan worden om zich in te dekken (geld/deadline/verantwoordelijkheid) is niks bijzonders en iedereen (iig die het spelletje kent) weet waarom dat gedaan wordt.

Uiteindelijk hoort de klant de regie te hebben - en wil je iets graag genoeg van je leverancier(s) dan moet je daarop doorduwen.
En ja, natuurlijk kost dat geld - of tijd, of kwaliteit, omdat andere dingen die je ook heel graag wilt naar achter schuiven.
En anders blijft zo'n vraag hangen omdat -blijkbaar- andere dingen de prioriteit en aandacht kregen. En hebben twee partijen een mailfolder met aan de ene kant 'vraag gesteld' en aan de andere kant 'geen reactie op vraag naar resource/prio/approval'

IBM was een pioneer met 'call home' voor mainframes - klanten kregen een service engineer aan de deur voor een probleem waarvan ze nog niet eens wisten dat ze het hadden.
(heet (nu) blijkbaar ESA https://www.ibm.com/support/pages/esa/index.htm
29-03-2021, 16:50 door Anoniem
Door Anoniem: IBM was een pioneer met 'call home' voor mainframes - klanten kregen een service engineer aan de deur voor een probleem waarvan ze nog niet eens wisten dat ze het hadden.
(heet (nu) blijkbaar ESA https://www.ibm.com/support/pages/esa/index.htm

Ja, soms met een vrachtwagen vol AS400. In ieder geval 2x per jaar.
Volkskrant heeft waarschijnlijk opdracht gekregen van de AIVD om wat FUD in de lucht te sturen...
Natuurlijk weten we hoe de AIVD deze geheime KPN documenten heeft gekregen...
Van hun vriendjes de NSA/GCHQ die het hele netwerk van KPN kunnen overnemen via de amerikaanse meuk die er staat.
29-03-2021, 17:23 door Anoniem
Door Anoniem: IBM was een pioneer met 'call home' voor mainframes - klanten kregen een service engineer aan de deur voor een probleem waarvan ze nog niet eens wisten dat ze het hadden.
Zo'n voorval kan ik me nog herinneren, ja. Ik geloof dat heel systeemprogrammering (waar ik zelf geen deel van uitmaakte) in een of andere belangrijke bijeenkomst zat. Ze werden daaruit gehaald omdat iemand van IBM bij de receptie stond met een vervangende CPU. Processen lopen gewoon door dan, een reserve-CPU neemt het over. Ik neem aan dat er een melding moet zijn geweest die de operators niet hadden opgemerkt. In ieder geval was het eerste wat de mensen die erover gingen ervan merkten dat IBM met een vervangend onderdeel bij de receptie stond.

Maar er was voor zover ik weet geen sprake van dat IBM'ers users op die systemen hadden, aan konden loggen en produktiedata in konden zien. IBM had geen toegang tot die systemen maar ontving berichten over hardwarestoringen ervan. Tussen Telfort en Huawei lagen de verhoudingen kennelijk anders.
29-03-2021, 21:35 door Anoniem
Door Anoniem:
Door Anoniem: IBM was een pioneer met 'call home' voor mainframes - klanten kregen een service engineer aan de deur voor een probleem waarvan ze nog niet eens wisten dat ze het hadden.
(heet (nu) blijkbaar ESA https://www.ibm.com/support/pages/esa/index.htm

Ja, soms met een vrachtwagen vol AS400. In ieder geval 2x per jaar.
Volkskrant heeft waarschijnlijk opdracht gekregen van de AIVD om wat FUD in de lucht te sturen...
Natuurlijk weten we hoe de AIVD deze geheime KPN documenten heeft gekregen...
Van hun vriendjes de NSA/GCHQ die het hele netwerk van KPN kunnen overnemen via de amerikaanse meuk die er staat.

Dat is niet helemaal uit te sluiten, maar ik denk veel prosaïscher en dichter bij huis.

Je kunt concurrerende partijen verdenken, die Huawei uit een support of leveringsbid willen kegelen.
Je kunt denken aan een interne medewerker die vond dat ie moest klokkenluiden.
Je kunt denken aan een interne medewerker die de zwarte piet kreeg bij het een of andere project met Huawei (bijvoorbeeld omdat Huawei een storing of probleem kon wijten aan iets wat die medewerker deed, of juist niet gedaan had). En dan wraak genomen heeft door wat brisante passages te lekken uit een rapport waar hij of zij bij kon.
Je kunt denken aan een interne medewerker die gedumpt is door z'n Chinese vriendin die bij Huawei werkt. Of geen kans kreeg van juffrouw Huawei. Of een boze vrouw die ingeruild werd voor een leuke Chinese Huawei-expat die zo goed samenwerkte bij het Telfort project ...
29-03-2021, 23:58 door Anoniem
Door Anoniem:
Door Anoniem: IBM was een pioneer met 'call home' voor mainframes - klanten kregen een service engineer aan de deur voor een probleem waarvan ze nog niet eens wisten dat ze het hadden.
Zo'n voorval kan ik me nog herinneren, ja. Ik geloof dat heel systeemprogrammering (waar ik zelf geen deel van uitmaakte) in een of andere belangrijke bijeenkomst zat. Ze werden daaruit gehaald omdat iemand van IBM bij de receptie stond met een vervangende CPU. Processen lopen gewoon door dan, een reserve-CPU neemt het over. Ik neem aan dat er een melding moet zijn geweest die de operators niet hadden opgemerkt. In ieder geval was het eerste wat de mensen die erover gingen ervan merkten dat IBM met een vervangend onderdeel bij de receptie stond.

Maar er was voor zover ik weet geen sprake van dat IBM'ers users op die systemen hadden, aan konden loggen en produktiedata in konden zien. IBM had geen toegang tot die systemen maar ontving berichten over hardwarestoringen ervan. Tussen Telfort en Huawei lagen de verhoudingen kennelijk anders.

Ik noemde het mainframe voorbeeld als heel vroege case van een leverancier die heel direct informatie kreeg uit z'n systemen op klantlocatie, en vrijwel buiten de klant om.
Hoeveel verdere toegang IBM typisch kreeg, of eiste, of vroeg bij bepaalde soorten support contract weet ik niet.

Maar an sich is het dus niet bijzonder dat een leverancier bij een erg uitgebreid support contract een reeks eigen accounts heeft/krijgt van de klant.
Het is aan de klant -en z'n operations team - om bijvoorbeeld dergelijke accounts alleen te enablen wanneer er een case geopend is , of tijdens een afgesproken analyse/audit . En om de acties van die accounts te loggen en te auditen.

Het is soms een hoop gedoe en regelwerk om dergelijke third-party-access in te richten , zeker als je aan de klanten kant 'persoonlijke accounts' eist (en ook nog passwords expired) , en de leverancier de ge-eiste 7x24x(2/4) respons levert vanuit z'n "global support" organisatie die minimaal 3 centra over de wereld heeft ('follow the Sun') met veel engineers.
30-03-2021, 07:55 door Anoniem
Door Anoniem: Fijn om te horen dat de complottheorien soms ook wel realiteit zijn en geen theorien!!

Had je iets anders veLwacht bij de Chinees??

Nee, net zo min als bij de Amerikaan of Rus.
30-03-2021, 08:36 door Anoniem
Door Anoniem:
Door Anoniem: Is het uitgesloten dat dit nog gebeurt,ik denk
van niet,maar wel als burgers gezamelijk zouden stoppen
met het gebruik hiervan,en aangezien dat niet gebeurt,
laten we ons gewoon naaien,we doen het zelf,
dus verwijten maken naar de overheid of de tech-bedrijven is niet helemaal terecht.

The Matrix

Wie is verantwoordelijk voor de beveiliging van die data? De bedrijven zelf toch? Dan is dat verwijt aan hun adres helemaal terecht.

En bedoel je nou stoppen met het gebruik van een mobiele telefoon? Zo ja: wil je terug naar 1980? Hoe zie je het voor je met MFA via de authenticator of SMS? Geen MFA meer? Terug naar de cheques in plaats van een bank app? Bereikbaarheid van je partner, kinderen, ouders of vrienden voor het geval hen wat overkomt? Geen telefonisch contact meer met wie dan ook wanneer je je huis uit stapt? Alles uitprinten in plaats van je mailtje met barcode laten zien bij een bedrijf? En wat lost dat op? Dan kunnen we ook wel stoppen met vaste telefonie, want ook die facturatiegegevens kunnen in handen vallen van derde partijen.

het zou voor een gedeelte van onze maatschappij wel erg fijn zijn als ze die opties deels nog hadden. wacht maar totdat jouw ouders het niet meer kunnen volgens of wellicht jezelf!
30-03-2021, 10:34 door [Account Verwijderd]
Een paar dagen geleden las ik ergens dat Huawei ook het complete camera systeem in de EU had geregeld en verzorgd.
Maar met de beste wil van de wereld kan ik dit hele bericht nergens meer terug vinden.
Alsof het compleet verwijderd is van internet.
Maar ik kan nooit de enige geweest zijn die dit bericht gelezen heb.
Dus als iemand dit bericht nog ergens kan vinden, bedankt vast.
30-03-2021, 14:20 door Anoniem
Door BertG.: Een paar dagen geleden las ik ergens dat Huawei ook het complete camera systeem in de EU had geregeld en verzorgd.
Maar met de beste wil van de wereld kan ik dit hele bericht nergens meer terug vinden.
Alsof het compleet verwijderd is van internet.
Maar ik kan nooit de enige geweest zijn die dit bericht gelezen heb.
Dus als iemand dit bericht nog ergens kan vinden, bedankt vast.


Zoiets ?

In https://www.ad.nl/buitenland/dubieuze-deal-europarlement-hangt-vol-cameras-van-bedrijf-dat-in-china-strafkampen-bewaakt~ac1fa164/ wordt Hikvision genoemd als camera leverancier.

quote:
Al sinds oktober vorig jaar proberen Ruissen en 35 collega’s van verschillende politieke families de Chinese scanners weg te krijgen en te vervangen door een ‘eerlijk’ Europees product.

In Europa willen ze 'eigen industrie eerst' altijd een moreel tintje geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.