dinsdag 13 december 2011

Gemnet lekte ook niet-openbare informatie

Volgens Minister Donner was er alleen algemene informatie op de KPN-server van Gemnet aanwezig. Maar via een hacker wordt duidelijk dat er ook klantgegevens toegankelijk waren.

In een brief aan de Tweede Kamer stelt Minister Donner dat er een algemene publiekssite is gehackt. De brief volgt op de onthulling dat een onderdeel van KPN was gekraakt.

Meer dan algemene informatie

Volgens KPN vielen de problemen behoorlijk mee. "Inmiddels is uit intern onderzoek gebleken dat een inbraak uitsluitend openbare, algemene informatie betrof", stelt het bedrijf in een verklaring.

Maar tijdens de hack was al duidelijk dat er ook andere documenten op de server toegankelijk waren. Een voorbeeld is een document met interne routering tussen Gemnet en diverse klanten.

Dominus Decedere

Inmiddels is duidelijk dat er daadwerkelijk meerdere hackers actief waren. Een daarvan voert de alias 'Dominus Decedere', hij had ook toegang tot de server. Hij kreeg een database in handen met daarin klantgegevens en ordergegevens van Gemnet. Daarbij gaat het om aansluitingen voor beveiligde verbindingen (VPN), uitbreidingen op dienstverleningen, enzovoort.

KPN erkent de nieuwe ontdekking. "Klanten kunnen algemene Gemnet-diensten aanvragen via gemnet.nl. Dit gaat niet om aanvragen van certificaten. Bij zo'n algemene aanvraag laten klanten hun contactgegevens achter", stelt Simona Petescu, voorlichter bij KPN.

"Het CMS, waarmee het openbare deel van de website wordt beheerd houdt die zakelijke naw-gegevens nog vast: deze zijn achterbleven op de webserver van www.gemnet.nl. Het gaat hierbij om aanvraaggegevens voor Gemnet-diensten zoals een internet upgrade, verandering Service Levels, upgrade bandbreedte Gemnet verbinding."

Het bedrijf benadrukt dat het niet mogelijk was PKI Overheidscertificaten aan te vragen.

Debat

Er blijkt dus een verschil te bestaan tussen de uitleg in de kamerbrief en de nieuwe feiten waarmee de hacker komt. Arjan El Fassed, die om de brief van de regering vroeg en ook een debat heeft aangevraagd, schrikt van de bevindingen.

"Ik hoop dat dit een vergissing is", zegt hij tegen Webwereld en laat doorschemeren dat hij daar ook vanuit gaat. "Het maakt duidelijk hoe belangrijk goed toezicht is. Dat moet volledig transparant zijn. Tijdens het debat moet hier maar duidelijkheid over komen."

Bron: Webwereld

Geen opmerkingen:

Een reactie posten