Hoogste alarmfase na hack KPN

Aangepast op
Binnenland

De hack bij KPN vorige maand had ingrijpende gevolgen kunnen hebben voor klanten van het telecomconcern. Na het ontdekken van de hack is intern zelfs de hoogste alarmfase, code Rood, afgekondigd.

De jonge hackers konden kinderlijk eenvoudig tot diep in het computersysteem doordringen doordat KPN had verzuimd software te updaten.

KPN geeft nu toe dat de hack ertoe had kunnen leiden dat klanten die een abonnement met internet en telefonie hebben, niet het alarmnummer 112 konden bellen. Hackers hadden de mogelijkheid om dit te verstoren.

Wagenwijd open

De situatie was zo ernstig dat KPN mogelijk gedwongen zou zijn geweest zelf het systeem uit te schakelen. Dit zou hebben betekend dat klanten niet meer konden bellen of internetten.

Het beveiligingslek was bekend in de sofware-wereld. Maar omdat KPN de software jarenlang niet had bijgewerkt, werd het lek niet gedicht. In feite stond de achterdeur wagenwijd open. De hackers konden makkelijk rondneuzen en kregen zelfs het hoofdwachtwoord van het systeem in handen.

Privacygevoelige gegevens

KPN stelde gisteren nog dat niet was geconstateerd dat de hackers gegevens hadden gekopieerd of actief zijn geweest binnen het KPN-computersysteem. Maar volgens bronnen rond de hackers hebben ze wel degelijk een softwareprogramma op het systeem van KPN geïnstalleerd.

Dat heeft uiteindelijk ook tot hun ontdekking geleid. Ook stellen de hackers zelf dat ze voor meer dan 16 gigabyte aan informatie hebben gekopieerd.

De hackers hadden toegang tot privacygevoelige gegevens van particuliere klanten en bedrijven, zoals namen, adressen, telefoonnummers en bankrekeningnummers. De inbraak werd ontdekt op 20 januari. Toen waren de hackers al enkele dagen in het systeem. Pas op 27 januari, toen bleek dat de hackers nog steeds in het systeem konden, zijn de autoriteiten geïnformeerd.

Meldplicht

Toen heeft KPN veel menskracht ingezet om het probleem op te lossen. Van 27 januari tot 3 februari hebben honderd mensen hier 24 uur per dag aan gewerkt.

Het Nationaal Cyber Security Centrum had graag eerder geïnformeerd willen zijn. 'We zullen zeker in gesprek gaan met KPN waarom het zo lang heeft geduurd', stelt een woordvoerster. Volgens haar wordt er gewerkt aan een meldplicht. Ook KPN geeft nu toe dat er eerder gewaarschuwd had moeten worden.