KPN blundert met opslaan wachtwoorden uit Experiabox
Een goede vriend, laten we hem Sipke noemen, belde me vandaag op en vertelde dat eerder deze week de bliksem is ingeslagen: nagenoeg alle aangesloten elektronische apparaten zijn kapot. Heel vervelend, maar gelukkig dekt de verzekering alle schade. Een van de getroffen apparaten betrof het ADSL modem: de KPN Experiabox V9. Vervanging daarvan is relatief makkelijk geregeld: je belt KPN, zij sturen een servicemonteur, hij sluit een nieuw modem aan, en dan is het klaar. Klaar? Ja inderdaad, klaar: na het opstarten van de nieuwe Experiabox meldt de thuislaptop opeens (zonder enige handmatige configuratie van de Experiabox) verbonden te zijn met het draadloze thuisnetwerk. Met andere woorden: KPN slaat gegevens uit jouw modem op.
Handig? Misschien wel, maar Sipke denkt daar heel anders over: “Mijn Wi-Fi wachtwoord is van mij. Daar heeft KPN niks mee te maken”. En dat ben ik helemaal met hem eens. In eerste instantie kon ik me niet voorstellen dat KPN zoiets zou doen, maar al snel kwam ik uit op het forum van Tweakers.net waar meer personen melding maken van dit bijzondere feit. Maar het wordt nog erger: het wachtwoord dat nodig is om op de beheerpagina van de Experiabox (http://192.168.2.254/) in te loggen wordt niet teruggezet. Er kan worden ingelogd door het wachtwoordveld leeg te laten, waarna je wordt gevraagd om een nieuw wachtwoord in te voeren. Sipke: “Mensen die ik eerder toestemming heb gegeven om mijn internetverbinding te gebruiken, kunnen zich nu ineens toegang verschaffen tot mijn Experiabox. Daarin staat mijn volledige VOIP gesprekshistorie; alle telefoonnummers van inkomende en uitgaande gesprekken, begin en eindtijd van elk gesprek tot op de seconde nauwkeurig!”. Inderdaad erg slordig van KPN. Liever niet, maar als ze dan zo graag onder het mom van klantvriendelijkheid alle instellingen willen opslaan om ze terug te kunnen zetten, doe het dan goed.
Na het aanhoren van Sipke ben ik toch wel nieuwsgierig geworden naar meer. Hieronder een aantal interessante bevindingen:
- KPN maakt nergens melding van deze automatische herstelfunctie. Niet in de Algemene Voorwaarden Elektronische Communicatiediensten en ook niet in de installatiehandleiding van de Experiabox.
- Er lijkt geen opt-out mogelijkheid te zijn. In de Experiabox zelf in ieder geval niet.
- Volgens Wouter Dammers van ICTRecht B.V. is een wachtwoord een persoonsgegeven.
- In artikel 17.2 en 17.4 van de Algemene Voorwaarden Elektronische Communicatiediensten stelt KPN zich te houden aan de Wet Bescherming Persoonsgegevens en zorg te dragen voor passende organisatorische en technische maatregelen om persoonsgegevens te beveiligen.
- In het Wbp-meldingenregister is onder meldingsnummer 1321211 vermeldt dat KPN o.a. de volgende persoonsgegevens verwerkt: “Gebruikersnaam, wachtwoord, e-mailadres”. Persoonlijk ben ik van mening dat het Wi-Fi wachtwoord daar niet onder valt, maar door de breed gedefinieerde ‘doelen van verwerking’ is dit juridisch gezien ongetwijfeld in orde.
- Omdat het Wi-Fi wachtwoord in de Experiabox als platte tekst te lezen is, wordt het in ieder geval niet gehashed door KPN opgeslagen. Hoogstens worden de gegevens versleuteld opgeslagen, zodat deze ook weer ontsleuteld kunnen worden, maar het zou ook zomaar kunnen dat KPN helemaal geen versleuteling toepast voor het vastleggen van deze gegevens. Voor het opslaan van wachtwoorden is dat in ieder geval niet gebruikelijk en vanuit een security perspectief zelfs af te raden.
Kortom, op dit specifieke deel van de KPN dienstverlening is behoorlijk wat aan te merken. KPN slaat ongevraagd een persoonlijk wachtwoord op, geeft klanten niet de mogelijkheid om dit uit te schakelen, en vergeet bij het terugzetten van de modeminstellingen om ook de beheerpagina weer van een wachtwoord te voorzien. Juridisch gezien is dit misschien wel met droge ogen te verkopen, maar ik vind het alles behalve chique. Wat moet KPN met leesbare wachtwoorden van klanten? Wachtwoorden die deze klanten misschien ook wel elders gebruiken. Je zou denken dat ze bij KPN na de befaamde KPN-hack wel beter weten.
Afbeelding door: Drupal.org
Jeetje! Ik heb ook een Experia Box v9. Voel mij nu toch niet zo veilig meer!
Ik ga nu zeker extra en eigen beveiliging installeren!
Hier een reactie van een medewerker van KPN-CERT. Allereerst bedankt voor het signaleren van de boven geschetste feiten. Mocht u vragen of opmerkingen hebben omtrent de beveiliging van KPN producten kunt u deze altijd bij ons aanmelden via cert@kpn-cert.nl.
Aangaande het bovenstaande kan ik u het volgende uitleggen. KPN levert een applicatie genaamd de KPN assistent die het installeren van het modem en KPN diensten eenvoudiger maakt voor gebruikers. Deze applicatie wordt meegeleverd op CD of kan worden gedownload van kpn.com. Als deze applicatie wordt gebruikt om het modem te installeren zal de SSID en de WiFi key inderdaad centraal worden opgeslagen. Deze opslag vindt plaats nadat gecontroleerd is of het verzoek vanaf de juiste aansluiting is gedaan. Is dit het geval dan worden de gegevens opgeslagen in een beveiligde omgeving die onderhevig is aan security testen en audits.
Als men geen gebruik maakt van de KPN assistent worden de WiFi gegevens niet centraal opgeslagen. Dat houdt echter in dat na elke factory reset of update de gebruiker zijn WiFi instellingen opnieuw moet doen. Uit ervaring hebben wij geleerd dat veel gebruikers dit een vervelend en lastig karweitje vinden. Vandaar dat we deze klanten via de KPN assistent een mogelijkheid bieden om deze gegevens centraal op te slaan.
Het is dus niet zo dat KPN voor alle modems standaard de WiFI gegevens opslaat.
Ik hoop u zo voldoende te hebben geinformeerd.
@ Jessie Helder: Het feit dat KPN deze gegevens na gebruik van de CD-rom centraal opslaat, had dan wel veel duidelijker kenbaar moeten worden gemaakt (als het al kenbaar gemaakt is!). Ik had hier in dat geval dan zeker geen gebruik van gemaakt, aangezien het een directe security threat is.
Ik vraag mij sterk af of andere gebruikers en klanten van KPN zich dit realiseren, maar heb uit gesprekken in mijn sociale kring absoluut anders vernomen! Het blijkt maar weer eens te meer dat het dus niet vertrouwd is om gestandaardiseerde consumenten producten klakkeloos te gebruiken en te installeren met bijgeleverde “assistenten”. Je kan dus alleen écht vertrouwen op “eigen” beveiliging. Teleurstellend.
Jesse, allereerst bedankt voor je reactie. Goed om te zien dat KPN dit serieus neemt. Wat ik me na het lezen van je reactie nog afvraag, is waarom er ook KPN klanten zijn die stellen dat een dergelijke ‘restore’ ook plaatsvindt zonder dat er ooit gebruik is gemaakt van de software ‘KPN assistent’. Zou je dit nog kunnen toelichting?
Beste Jelle,
Ik begrijp je opmerking. Ik zal deze meenemen en aankaarten dat KPN dit meer expliciet moet vermelden. Zoals ik al zei ervaren veel gebruikers deze functionaliteit als erg handig maar ik ben het met je eens dat wel duidelijk moet zijn dat KPN de WiFi gegevens daar voor centraal moet opslaan.
Beste Dennis,
Een dergelijke restore van de WiFi gegeven na een factory reset of modem wissel zou voor zover ik weet alleen mogelijk moeten zijn na gebruik van de KPN assistent. Als er gevallen zijn waar dit niet het geval is geweest dan verbaasd mij dat zeer. Mocht je een concreet geval weten dan kan deze klant dit bij ons melden op cert@kpn-cert.nl, dan zullen we uitzoeken wat er gebeurd is.
Beste Jelle,
Zoals beloofd heb ik nog even nagevraagd hoe dit in de KPN-Assistent wordt vermeld.
Op het scherm waar men kan kiezen voor de instellingen van de WiFi settings staat namelijk het volgende vermeld:
“Deze persoonlijke draadloze netwerk instellingen worden door KPN opgeslagen en hierna voortaan gebruikt.”
Deze zin lijkt mij duidelijk dat aangeven dat er settings worden geregistreerd.
groeten
Jesse
Gisteren, zaterdag 16 augustus had ik bezoek van een neef. Ik heb hem toegevoegd aan mijn WLAN mac security. Nadat hij thuis zijn laptop opstartte kreeg hij mijn experiabox v9 inlogscherm automatisch te zien. Sinds dat KPN vorige week mijn experiabox v9 omruilde, kreeg ik voortdurend cyberaanvallen op mijn NAS server. Ook nooit eerder voorgekomen. Mijn vertrouwen in de KPN pruducten nemen gestaag af. Zelfs zodanig (ook tv storingen) via glasvezel dat ik nu echt overweeg een andere provider te kiezen.
Graag een reactie op mijn wedervaren.
MvG
Jack Dolje
Als ik het dus goed begrepen heb moet je dus niet de kpn assistent instaleren maar alles rechtstreeks via je internet explorerer of Firefox in de experia box invoeren om te voorkomen dat kpcn jouw gegevens opslaat ?
graag een snel antwoord ik kan nu nog van de bestelling af.
Dirk-jan, zo interpreteer ik de reactie van KPN ook.
Dit is dus nog steeds actueel (inmiddels Experia V10).
Wat iedereen hier vergeet,, je kunt wel een zin tonen in een dialog scherm van deze CD app maar bij veel klanten zal de monteur dit doen en krijgen de klanten dit dus nooit te zien. Vandaag dus ook weer iemand die totaal verrast is door deze “service”.
Ik persoonlijk zou dit dus nooit willen. Wat ook vreemd is dat op device niveau een x-aantal wel werken en een x-aantal niet. Wordt er ook op device niveau dingen bijgehouden (MAC-list oid) .
Het betreffende wachtwoord en SSID worden zelfs opgeslagen wanneer men geen KPN Assistent gebruikt, ik heb deze nota bene niet eens geïnstalleerd en na het omruilen van de V10 – omdat een klantenservice medewerker deze situatie wel erg vreemd en vervelend vond – stond wifi weer als vanouds ingesteld.
Wifi netwerk naam alsmede de wachtwoorden zijn een persoonsgegeven en dit moet dan dus ook mede gedeeld worden aan de klant, iets wat KPN niet doet.
Maandag maar eens een signaal uitsturen richting cbpweb.nl