Datalek: hele wereld beheert account KPN zakelijke DSL-klant
- 12 juli 2012
Bits of Freedom heeft haar Zwartboek Datalekken opnieuw uitgebreid. De gegevens van 140.000 klanten van een zakelijke KPN DSL-verbinding konden worden bekeken en aangepast.
KPN heeft nieuwe klanten jarenlang steevast hetzelfde en makkelijk te raden wachtwoord gegeven. Het account waarmee het abonnement van een zakelijke ADSL-verbinding kan worden beheerd kreeg altijd “welkom01” als wachtwoord. Gebruikers werden ook niet gedwongen het wachtwoord te veranderen, waardoor het wachtwoord bij de meeste klanten onveranderd bleef. Samen met de gebruikersnaam, een combinatie van de postcode en het huisnummer, kunnen beheerders inloggen in het Customer Self Center. Daar kan de gebruiker persoons- en contactgegevens, bankrekeningnummer en soort abonnement inzien én wijzigen.
KPN constateerde dat 120.000 van de 180.000 gebruikers het wachtwoord niet had aangepast. Nog eens 20.000 gebruikers had de gebruikersnaam ook als wachtwoord ingesteld. KPN heeft na de melding van het lek de toegang tot de website geblokkeerd. Nadat alle wachtwoorden zijn veranderd werd de website weer in gebruik genomen. Betrokken klanten zijn per e-mail geïnformeerd en worden gedwongen een nieuw wachtwoord te kiezen.
Persoonsgegevens worden opgeslagen in steeds meer en steeds grotere databanken waarvan de beveiliging vaak onvoldoende is. Er is sprake van een datalek op het moment dat iemand onbevoegd toegang tot persoonsgegevens heeft gekregen. Bits of Freedom vindt dat er snel een meldplicht voor datalekken moet komen. Zo’n meldplicht moet betrokkenen in staat te stellen om bij een datalek maatregelen te nemen om verdere schade te voorkomen. Bits of Freedom heeft het ministerie van Veiligheid en Justitie uitgebreid geadviseerd over haar wetsvoorstel voor een meldplicht datalekken. Nu is het ministerie aan zet.