Glasvezelkabel
Glasvezelkabel © ANP

Interne netwerk KPN was met zakelijke glasvezelaansluiting te infiltreren

Een deel van het interne netwerk van KPN is te infiltreren geweest met behulp van een zakelijke glasvezelaansluiting van de internetprovider. In theorie was het daardoor mogelijk om internetverkeer van klanten af te luisteren.

Dat schrijft de 'ethische hacker' die het lek geeft gevonden in een zelf opgesteld rapport. KPN erkent dat er problemen zijn geweest, maar die zijn volgens de provider inmiddels allemaal opgelost, en de beveiliging is opgeschroefd. Volgens het bedrijf zijn er geen klant- of persoonsgegevens in het geding geweest.

Switch
De anonieme onderzoeker beschrijft in het rapport hoe hij op het interne netwerk kwam door de glasvezelkabel rechtstreeks aan te sluiten op een switch (zeg maar een apparaat dat ervoor zorgt dat een gegevensbundel alleen naar het apparaat wordt gestuurd waarvoor het bedoeld is), in plaats van op daarvoor bedoelde apparatuur van KPN. Daardoor kon hij op servers komen die normaal niet voor het grote publiek bereikbaar zijn. Op één interne ftp-server waren de wachtwoorden van duizenden routers en andere netwerkapparatuur versleuteld met verouderde encryptiemethoden, en daardoor binnen enkele seconden te achterhalen.

'Na een uurtje of twee rondkijken was duidelijk dat er dusdanige toegang mogelijk was tot het interne netwerk van KPN dat een kwaadwillend persoon flinke schade zou kunnen toebrengen aan de KPN-infrastructuur', schrijft de onderzoeker.

'Ik zie mijzelf totaal niet als een hacker en denk dat een goede hacker hier zeker meer had kunnen vinden.'

De vinder heeft de problemen afgelopen juli bij KPN gemeld via de zogenoemde responsible disclosure-procedure: een speciale procedure waarbij overeen wordt gekomen pas in de openbaarheid te treden als de problemen zijn opgelost en alle lekken zijn gedicht. Via het Nationaal Cyber Security Centrum (NCSC) heeft KPN contact gezocht met de melder. De provider is vanaf dat moment bezig geweest met het oplossen van de problemen.

Apparatuur
Technologiesite Tweakers schrijft dat de infiltratie niet voor iedereen even gemakkelijk uit te voeren was geweest. 'Er was een zakelijke wholesale-glasvezelaansluiting voor nodig. Het huren van apparatuur voor een dergelijke aansluiting alleen al kost 2000 euro per maand, nog los van de kosten voor de daadwerkelijke verbinding.'

Zowel KPN als de anonieme onderzoeker zijn tevreden over de manier waarop het probleem is afgehandeld. 'Wij zijn blij met deze netwerk- en security-specialisten, die op eigen initiatief hardware en software testen op kwaliteit en deze kennis aan ons doorgeven', aldus KPN. De onderzoeker wijst er in het verslag wel op dat 'ethisch hacken' vaak nog steeds als misdrijf wordt gezien. 'Je hebt je immers toegang verschaft op een manier die niet toelaatbaar is. Als het bedrijf of openbaar ministerie er toch een zaak van besluit maken moet je maar hopen dat het goed afloopt.'