Na incident bij Odido: hoe zit het met de veiligheid bij KPN?

Nou. Volgens mij zit dat wel goed.

Ben paar maanden geleden op het veiligheid centrum van kpn geweest. Tientallen computers met schermen houden continu alle systemen in gaten. Bij een afwijking grijpen die in én gaat er een luid alarm. 

De 24/7 aanwezige medewerkers duiken er ook direct op.

Uiteraard zal KPN vertellen dat alles op orde zit, en hier ben ik het persoonlijk ook mee eens. Behalve voor KPN zelf investeert KPN ook kapitaal aan de cyber veiligheid elders. Zie ook KPN's nieuws hier over:

https://www.overons.kpn/nieuws/kpn-investeert-ruim-5-miljard-in-cyber-security-en-de-digitalisering-van-nederland/

Zoals ​@PeterG vermeld hebben we inderdaad het SOC, Security Operations Centre.

En als ik voor mezelf mag spreken denk ik dat KPN het ontzettend goed aanpakt. Ik kan 0,0 gegevens downloaden, zelfs als ik een screenshot maak van klantgegevens is deze zwart omdat KPN de apparatuur welke klantgegevens kan inzien beheerd en bij elke app waar gegevens in staan is het verboden om een screenshot te maken.

Uiteraard zijn er nog een groot aantal andere maatregelen, tot irritant aan toe. Maar ik denk dat het ook niet is toegestaan om dat allemaal te delen. En wil ik cybercriminelen ook niet wijzer maken dan ze al zijn.

Verder een mooi stukje van Journalist Jarco ​@TvG2016.

https://www.totaaltv.nl/nieuws/kpn-ziet-groei-bewustzijn-internetbeveiliging-bij-klanten-ons-netwerk-voldoet-aan-hoge-veiligheidseisen/

en ze hadden bij Odido de zwakste schakel te pakken. Is die ook uitgesloten bij KPN?

Als dat Phishing verhaal klopt dat is uiteraard niet uit te sluiten. Hopelijk heeft KPN wel zaken geleerd nadat een medewerker een laptop had vergeten bij een klant. Nu ongeveer 5 jaar geleden.

Het is makkelijk om van buiten met wijzende vingers iemand naïviteit of onzorgvuldigheid te onderstellen. Maar ik houd de NOS-verhaal voor onwaarschijnlijk dat via gehackte KS-medewerker daten van 6-8 miljoenen (ex)-klanten kunnen downloaden. Voor zoveel daten via front-end op te vragen heeft men maanden nodig, en ieder redelijk ingesteld database-backend slaat alarm als zoveel daten worden opgevraagd.

Ieder is te hacken, als men met geavanceerde hackers met veel geld (staatshacker of hacker in dienst van grote bedrijven/organisaties) te doen heeft, valt bijna niet te beschermen. Er zijn zoveel backdoors en zero-day exploits in software dat een goede bescherming gelijk een air gap systeem is. Maar bij een klanten systeem zoals bij providers is zoiets niet te realiseren.

Indien iemand interesse heeft, hoe een staatshacker te werk gaat, luister naar deze episode

https://darknetdiaries.com/episode/10/

Een klantenservicemedewerker heeft de gegevens van één klant nodig om die te helpen — maar heeft geen toegang nodig tot de paspoort- en IBAN-nummers van zes miljoen andere Nederlanders tegelijk. Het principe van "Least Privilege" werd niet toegepast: één account gaf toegang tot de hele database. Ofwel 1 medewerker had toegang tot alles, en als je je voordoet als IT afdeling waarbij ze de 2FA hebt weten te omzeilen, dan heeft niemand dit in de gaten. Op zich vreemd zou je zeggen, temeer dat Salesforce had moeten kunnen zien, dat er enorme hoeveelheden data weggesluisd werd.

Saillant detail is, dat OhDildo gewaarschuwd was voor deze hackmethode, maar of men ook maatregelen genomen heeft moet nog blijken. 

 

Data breaches zijn letterlijk aan de orde van de dag. Wat ik van heel het Odido gebeuren vind laat ik maar achterwege anders word ik vast gebanned 😅

Maar voor elke account en social verschillende wachtwoorden en e-mail en de 2FA gebruiken zorgt er in ieder geval voor dat je zelf niet alles op 1 plek hebt.
 

Sterkte en succes voor de gedupeerden 🍀

De minder technische gebruiker is altijd de zwakste schakel in een omgeving, beetje je hele huis beveiligen met de duurste middelen om uiteindelijk de code 1234 te gebruiken om de boel te ontgrendelen. Criminelen weten dit ook en spelen daar handig op in. Wat bij Odido is gebeurd heeft zoals het nu blijkt (wat waar is weet ik niet) vooral te maken met het uitdelen van autorisaties. Waarom moeten medewerkers van verschillende lagen toegang tot zoveel data hebben. Maar de exacte redenen is puur gissen nog op dit moment en wij buitenstaanders zullen het nooit helemaal weten. 

Nu zijn er laatste tijd zoveel datalekken en dat heeft altijd te maken met een bepaalde achterdeur die niet is dichtgezet of verkeerd is dichtgezet. Het is gewoon heel lastig om dit allemaal te voorkomen.  Men is gewoon niet altijd scherp of denkt iets goeds te doen wat blijkbaar niet slim is. 

Het hele verhaal over Odido buitenlandse  KS-medewerker van NOS is fout (niet begrepen). Het is niet KS-medewerker van Odido, maar KS-medewerker van Saleforce (de hacker) belt ICT-medewerker van Odido (administrator) om bij Saleforce in te loggen. Maar ipv de Saleforce App wordt een van App (Data Loader) van de hacker gebruikt en de token overgenomen. Vanaf hier heeft de hacker de volledige toegang voor Saleforce-database en kan onbeperkt de database downloaden. De fouten van Odido (en vele andere bedrijven) bij Saleforce OAuth Hack is

• Geef via Vishing (Voice Fishing) de Security Code (MFA)
• Geen beperking voor gebruik van connected APP (data loader)
• Geen beperking van IP-range voor gebruik Saleforce-omgeving voor administratieve taken
• Geen monitoring van Saleforce-database voor administrator.

Saleforce weet van hacken methodes zijn omgeving sinds ten minste 10 oktober 2025 maar waarschuwde eerst 28 januari 2026 zijn klanten.

Als men de waarschuwing van de hacker goed leest zijn 2 opties

• Saleforce betaalt het totale losgeld, en geen van zijn klanten (760 bedrijven) moet betalen
• Ieder bedrijf wordt individueel benaderd en chanteert.

Dan is nog de vraag, zat Odido al in de genoemde 760 bedrijven op 10 october 2025 en wordt in februari 2026 benaderd door hackers, of was Odido eerst in februari 2026 gehackt?