site met gehackte KPN klantgevens

[ron van sommeren]

Hier staat een verwijzing naar de site met de gegevens van de 537 KPN e-mail klanten, onder het kopje Hacker publiceert gestolen KPN-klantgegevens *update*. Ik sta er gelukkig niet bij want behalve dat mijn e-mail dan op straat zou liggen, zou ook mijn site open staan voor vandalisme:
https://secure.security.nl/ (wordt in het weekende niet bijgewerkt)

Wie staat er wel bij :twisted: ?

Updates van KPN
https://www.kpn.com/corporate/Digitale-inbraak.htm


:teacher::teacher::teacher:
Opvallend in het lijstje met klantgegevens: veel mensen gebruiken ont-zet-tend slechte passwords. Een password mag geen bestaand woord zijn (vanwege woordenboek-aanval), of voor- cq. achternaam. Ook geen geboortedatum van jezelf of uit je gezin (social engineering) of auto-kenteken. Sommigen gebruiken zelfs hun eigen naam Ik hoop dat ze betere gebruiken voor online bankieren.
Een veilig password moet vreemde tekens (.,!@ $%^&*_+=-~`]})>:\|/<({[';") , hoofd- EN kleine letters en cijfers bevatten, hoe wilder, hoe beter. Mijn passwords zijn allemaal minstens 10 karakters lang (fora), en die voor online bankieren is nog langer, de sleutel van mijn draadloze netwerk is 63karakters lang. Het wordt ook tijd dat sites sterke(re) wachtwoorden afdwingen.

 

[Ad Bakker]

Ik hoop dat ze betere gebruiken voor online bankieren.

Bij de Rabo gebruiken ze geen password maar een "calculator" die je in combinatie met je PIN pas moet gebruiken. Komt vrij veilig over, geen idee of dat ook zo is...
Voor de rest vind ik dat gedoe met al die passwords flink vervelend. Ik zit nu al met een document van 3 pagina's met al m'n verschillende inloggegevens.
Ik heb op zich geen angst voor privé gegevens die op straat zouden komen te liggen, omdat ik in wezen niets te verbergen heb. Vervelender is dat ze je computer of site zouden kunnen verpesten.

Groet,

Ad

 

[ron van sommeren]

En ze zouden je e-mail kunnen lezen. En je homepage kunnen verminken of gegevens kunnen stelen. Stel dat iemand daar zijn online shopje heeft draaien ... (kan dat wel bij KPN, shop draaien?)

Bij mijn bank moet je EN inloggen EN een code invoeren die elke keer per SMS krijgt.

 

[Sleurhutje]

Keer op keer vraag ik me bij dit soort dingen af hoe het toch mogelijk is dat hackers via een externe ingang dit soort interne informatie weten te ontfutselen. Hoe groter de organisatie, des te onzorgvuldiger er met beveiligingen wordt omgegaan lijkt wel.

Voor de sites die ik maak en beheer zijn inloggegevens niet veel meer dan een gebruikersnaam en een MD5 hash van het wachtwoord (sommige zelfs nog eerst gecodeerd alvorens de hash aan te maken). Alle andere gegevens zijn niet direct toegankelijk vanaf de website en staan ook niet in de databases die aan de websites hangen, daar zit nog een beveiligingslaag tussen. Voor die onnozele webgebruikers die gegevens kwijtraken, is er wel een tussenlaag van webserver naar achterliggende CRM, maar ook daar zitten beveiligingen op.

Nou ja, dat KPN brokkelt langzaam toch al uit elkaar. Nu valt er een flink stuk vanaf. Way to go.

 

[MeX101]

Nu we het toch over hacken hebben een Hobbyking buddy code site is ook gehacked

 

[Sleurhutje]

Nu we het toch over hacken hebben een Hobbyking buddy code site is ook gehacked

Tsja, particulier PC'tje met een webservertje. Verder geen beveiligingen toegepast. Echt hacken is dat nu ook weer niet. Elke script kiddy kan dat wel "hacken". c:

 

[Cheeta]

en als ik zie dat een simpele clubsite (asfaltrockers) in een periode van 1 maand al 28x wordt aangevallen met hack pogingen dan verbaasd het mij soms dat het zolang duurt voordat dit soort zwakheden ook daad werkelijk worden misbruikt.

Worm & Exploit Protection 28

echter mag ik hopen dat er binnen KPN koppen gaan rollen en dat de OPTA niet mild gaat zijn voor een bedrijf dat zijn zaken zo slecht voor elkaar heeft.

 

[ron van sommeren]

Te gek voor woorden dat KPN wachtwoorden in plain-text bewaart.

edit: blijkt onjuist te zijn, zie bericht van Ramses verderop.


Ik ben jaren een tevreden klant geweest van KPN maar zo'n hack blunder in combinatie met slechte/lompe helpdesk na foutieve gironummer (hoe kon dat zomaar veranderen???) en ongeautoriseerd storneren van mijn automatische incasso's naar dat nummer (ik zou dat gedaan hebben, de bank zou het gedaan hebben, totaal twee uur aan telefoon gehangen, telkens opnieuw uitleggen), ga ik op zoek naar een andere provider.

 

[markioo]

tja alwin
er zullen wel koppen rollen,met miljoenen eurootjes mee als gouden handdruk,
maar ik vind het stom dat ze het uitgebreid in de media bekent hebben gemaakt voordat men het heeft kunnen afsluiten,
als ze het stil hadden gehouden was er minder kans geweest dat men er extra naar ging zoeken om misbruik te gaan maken ervan,
je zegt toch ook niet wereldwijd en schreeuwend van de daken dat de achterdeur van de nederlandse bank nog open staat,en dan pas dicht doet

 

[N.P.S.]

Te gek voor woorden dat KPN wachtwoorden in plain-text bewaard.

Dat is nog maar de vraag...

De hackers hebben de klantgegevens met wachtwoord gepubliceerd. Misschien hebben ze kans gezien versleutelde wachtwoorden te ontcijferen.

 

[ramses]

Gelekte e-mailgegevens niet van KPN

Laatste update: 11 februari 2012 18:59 info

AMSTERDAM – De lijst met persoonsgegevens die vrijdag op internet verscheen is niet afkomstig van het mailsysteem van KPN, maar van een compleet andere database.

Het gaat om de klanten van een verkoper in babymaterialen, blijkt uit onderzoek van NU.nl.

> VERDER <

_________________


Groeten, Ramses

 

[ron van sommeren]

Gelukkig, ik kan mijn woorden terug nemen.

 

[N.P.S.]

Tja, heb bllijkbaar nog steeds last van wat restjes groene verf...

 

[ron van sommeren]

... Een veilig password moet vreemde tekens (.,!@ $%^&*_+=-~`]})>:\|/<({[';"), hoofd- EN kleine letters en cijfers bevatten ...
... Het wordt ook tijd dat sites sterke(re) wachtwoorden afdwingen.

... Het wachtwoord moet minimaal 8 en maximaal 16 karakters lang zijn en mag alleen letters, cijfer en de karakters .-_ bevatten. ...

Tsjongejongejonge, waarom nou die beperking tot drie vreemde tekens? (sorry N.P.S.)

 

[Sleurhutje]

Tsjongejongejonge, waarom nou die beperking tot drie vreemde tekens? (sorry N.P.S.)

Anders gaat hun SQL server op tilt? 8O

Je doet of alles in plain text of je zorgt dat je alles voor elkaar hebt. :teacher:

 

[Cheeta]

mijn wachtwoord:
WaTEeNGeklooTALDiEKlotEW8woordeN

zwaar genoeg???

 

[alfred.los]

vraag me af hoe die babyzaak aan wachtwoorden van de mailadressen komt
meeste mensen mailen zonder hun wachtwoord mee te geven

broodje aap dat babyzaak verhaal of ze moeten in het usa terroristenboekje staan

heb trouwens overal hetzelfde wachtwoord voor, das makkelijker te onthouden

 

[Cheeta]

@alfred...

als jij je registreert bij een webshop moet je een wachtwoord opgeven...
veel mensen gebruiken overal hetzelfde wachtwoord.

 

[alfred.los]

goed punt

toch geloof ik geen barst van dat babydump verhaal

groet alfred

 

[Cheeta]

tsja of het waar is of niet... kunnen wij niet bepalen hier.

tevens is het advies om altijd op verschillende plekken andere wachtwoorden te gebruiken.

op webshops gebruik ik een relatief simpel wachtwoord.. een bestelling met mijn account moet toch in 99% van de gevallen eerst betaald worden.. dus gratis spullen moedig ik altijd aan!.

voor betalingen etc is mijn wachtwoord totaal anders en veel complexer.