Waarom heeft KPN de wachtwoorden van hun gebruikers? Die behoor je helemaal niet te hebben!

Ze hebben alles gereset @1 en daarbij zullen ze encryptie vast niet kennen.

Daarbij wordt ze gezegd hun wachtwoord te wijzigen, maar het is nu een brief van kpn jatten en je hebt een account

Hoe dom kun je zijn? Diploma van de Milky Way Club zeker?

Bij een goed wachtwoorbeleid hoor je alleen de hashes van wachtwoorden op te slaan, niet de wachtwoorden zelf. Daarnaast moet het vrijwel onmogelijk zijn om de hashes te herleiden tot wachtwoorden.

Jongens, jongens, leer nou toch eens iets!

@2: En hoe lang zijn de opgestuurde wachtwoorden geldig dan? Stond dat er ook bij?

@1, @2, @4,
Jongens, jongens... Waaruit concluderen jullie dat men die wachtwoorden niet versleuteld in het systeem heeft zitten? Jullie snappen toch ook hoop ik dat het nieuw gegenereerde wachtwoord wel nog even aan de klant gecommuniceerd moet worden? Het artikel suggereert nergens dat men het verder onversleuteld bewaard. Feit is dat op het moment van generatie twee dingen ontstaan: De versleutelde hash en het onversleutelde wachtwoord. Het eerste sla je op, het tweede communiceer je. Er is geen reden om aan te nemen dat er iets anders gebeurd is.

Klungels Prutsers Nitwits

Nog even en je krijgt je pincode en je bankpas in 1 envelop. Dommies toch die telefoonjongens.

@6: ik concludeer dat uit deze tekst:

"De klanten die hun wachtwoord wijzigden kregen een bevestiging per mail, maar achteraf ook nog een brief met daarin hun e-mailadres én wachtwoord."

Las ik hier ergens vandeweek niet dat kpn zei dat de lijst met adressen elders vandaan kwamen? Tis maar net wat ze uitkomt.. stelletje leugenaars!

Stel prutsers bij elkaar, kan er niets anders van maken.

Ik ben het er niet mee eens, maaar KPN doet dit al jaren zo bij nieuwe abonnementen, nu is het opeens een probleem?

Die hebben ze nodig voor het geval dat je in het buitenland met je laptop wilt mailen via WIFI.(webmail)
Ze willen zeker weten dat jij het zelf bent die daar bezig is...........

Maar wel een stomme zet om dat in één
enveloppe te doen, ik heb zelf overigens nog niets ontvangen.

Het gebrek aan kennis bij dit ex staatsbedrijf wordt opgevuld door regeltjes en procedures maar zodra iemand zelf moet gaan nadenken, gaat het helemaal mis. Als je zelfs usernaam en password in één brief zet dan laat je wel zien dat je er echt helemaal niets van begrijpt. Ben benieuwd naar de volgende blunder.

Waarom ueberhaupt een brief sturen met het nieuwe wachtwoord, terwijl je dat zelf hebt aangepast?

(En nee, het is niet zoals @2 en @6 zeggen dat er nieuwe ww zijn gegenereerd. Alleen gebruikers die _zelf_ hun ww aangepast hebben krijgen deze brief.)

Och maken mensen zich daar nu plots weer druk over?Het is nog niet zo lang geleden dat men met door de post opgestuurde kascheque,s girobetaalkaarten etc werkten.En dat was natuurlijk niet fraude gevoelig.Maar goed de mensheid heeft weer iets te zeuren.Een goede wandeling door de natuur was net even beter geweest.Maar ja sommigen zijn dit totaal vergeten>He, wat voor natuur???Dit is dus het voorbeeld van hoe de mensheid zelf, zich heerlijk verziekt.

De ondergang van kpn is ingezet....

@2 @6 lezen? Onterechte minnen op @1.

"De klanten die hun wachtwoord wijzigden kregen een bevestiging per mail, maar achteraf ook nog een brief met daarin hun e-mailadres én wachtwoord."

Faal op faal op faal, wat een waardeloos bedrijf.
Wedden dat de top toch weer een bonus opstrijkt ?

het is al jaren zo, zodra je je wachtwoord veranderd krijg je elke keer een bevestinging. email met wachtwoord.
zo gaat dat al jaren, waarom klagen ze nu pas.
betekent wel dat de meesten mensen al jarenmet het zelfde wachtwoord inloggen..ook een beetje stom.

@12 dus als je iets al jaren fout doet, dan is het nu ineens goed?
Ik heb er maar weinig verstand voor hoor. Maar zelfs ik begrijp dat je inloggegevens, net als bankpas & pincode los van elkaar verstuurd met een tussentijd van een dag of 2.

Omg wat een sukkels daar zeg :-\ .

Ben benieuwd wie dit verzonnen heeft, wat dom dat is als een bankpas + pincode tegelijk sturen, doe je ook niet...

Dom inderdaad, maar volgens mij doet UPC dat ook. Tenminste met nieuwe acounts, en toegegeven, da's wat minder erg zolang mensen hun wachtwoord wijzigen na ontvangst...

KPN is in deze situatie vanaf het begin stuntelig geweest. Zodra je vermoed dat je gehackt bent haal je de mailserver offline. Je doet intern een offline password reset en stuurt deze vervolgens per post opnieuw toe (niet in één brief).

Wat ik niet begrijp is dat gebruikers zelf hun wachtwoord moesten aanpassen, dat is nog steeds fraudegevoelig en een vreemde gang van zaken.

Logisch dat KPN de wachtwaarden, in hun systemen en beveiligd, moet bewaren.
Ik heb zelf al een jaar terug een brief ontvangen met mijn ww, nadat ik hem zelf had aangepast. Dat is dus zinloos, als ik het ww aanpas dan weet ik het al. Tevens geeft het aan dat ook KPN aan de ww-en kan komen, wat in de basis geheel niet nodig is.
Heb PKN toen laten weten dat als dat nog een keer gebeurd mijn abo ten einde is. Ik ben benieuwd...

handige jongens daar bij kpn.
de grondbeginselen van veilig internetten, nog maar eens doornemen?
emailen voor dummies is ook een goed boek

En daar zitten dan slimme mensen achter, zo'n organisatie... onbegrijpenlijk. Nu lijkt het alsof ieder downie(no offense) een bedrijf kan runnen.. goed bezig

@20 mensen klagen al jaren maar daar wordt niets mee gedaan omdat het niet in de krant komt en men het gezeur vind. Totdat het fout gaat dan is er media aandacht.

Het valt me in ieder geval nog mee dat ze het je niet Twitteren.

Tja dan kun je je servers nog zo beveiligen, 1 zo'n mailing maakt het dan zo lek als een mandje. Gebeurd overigens vaak dat de postbode de post voor mij in de bus van mijn buurman stopt... fijn dit. Geeft een gerust gevoel zo KPN!

Twee gouden regels:

1. Alleen de gebruiker mag zijn wachtwoord weten, niemand anders, ook computers niet.

2. Laat de gebruiker altijd zelf zijn wachtwoord aanmaken.

#1 losgezien van het feit dat dit slordig is, heeft kpn, net als alle andere providers, gewoon toegang tot jouw account. Zij hebben jouw wachtwoord dus niet nodig. Dat geldt ook voor banken, want jouw pincode is gewoon daar bekend. Echter niet iedereen heeft zomaar toegang tot deze gegevens en als men dan toegang heeft, wilt dat niet zeggen dat zij overal bij kunnen.

wordt toch altijd zo gedaan , ook buiten KPN !!!! , zodra je kan inloggen verander je je wachtwoord. gaat net iets anders bij pinpas code , maar gaat uiteindelijk ook per post

Knuppels
Prutsers
Nono's

Als ik mijn hostingbedrijf kunnen zij voor hulp zo mijn website op zonder dat zij ook maar mijn inloggegevens nodig hebben. Zij hebben daar gewoon een algemene sleutel welke is gekoppeld aan de inloggegevens van de medewerker aldaar.

Jezus wat dom..!

Wat velen niet weten is dat men zelf gewoon meerdere per jaar wordt gehackt. Velen weten dit niet eens, maar staan wel kpn enzo kapot te schelden. Echter jouw gegevens zijn voor hen niets waard en dus loggen zij snel weer uit. Zelfs het best beveiligde systeem komt een goede hacker binnen. Dat is niet te bveiligen. Ook de beveiliging van velen op nujij.nl laat ook hier te wensen over.

ik vond het niet erg hoor, had mijn wachtwoord al veranderd voor de brief.

Kijk, ik heb een bankvirus gehad en dat is veel erger als je je spaargeld voor je ogen ziet wegsluizen.

Het gaat om veiligheid mensen. En je wachtwoord kun je zo weer veranderen.


Mijn zus was wel dankbaar voor de brief, die had niet eerder haar wachtwoord gewijzigd en ze wist het niet eens meer. je moet toch je oude wachtwoord invullen, voor je een nieuw maakt


dus mensen niet zo hoog van de toren blazen

@39 Jij hebt het over iets anders, over een brief waarin staat hoe je je ww moet veranderen waarschijnlijk (sommige mensen weten inderdaad niet eens hoe dat moet).
Dit gaat over de brief die je krijgt _nadat_ je zelf je ww al hebt gewijzigd.

wat zou het IQ toch zijn van medewerkers die dit soort stomme akties bedenken.......in deze toestanden mag er ook maar geen kleinste gaatje zijn voor weer misbruik........

@20, Omdat er nu een half miljoen wachtwoorden te gelijk zijn veranderd en dat je nu dus bij bijna elke onderschepte brief van KPN een email-account van iemand anders hebt. Diegene die het wachtwoord heeft veranderd, heeft niks in de gaten omdat hij niet verwacht dat er ook nog een brief zou komen.

@20 er staat dat ze de gegevens per brief versturen en niet per mail. En zoals ook al werd opgemerkt: wanneer ik mijn eigen ww wijzig weet ik dit en hoef dit niet nog eens per snailmail te ontvangen!
Bovendien moeten wachtwoorden alleen geëncrypt opgeslagen worden zodat je alleen de hashcodes kan zien. Anders is het na een hack wel heel simpel om usernames en wachtwoorden te achterhalen. Wanneer je je ww niet meer weet moeten zie die alleen maar kunnen resetten en je dwingen een nieuwe aan te maken, niet je het ww toesturen.
Zo slecht dat

@1 en @4 : Ze hebben niet de wachtwoorden, ze hebben eerder ieders wachtwoord gewijzigd, en die gewijzigde wachtwoorden (die ze dus zelf hebben ingesteld) zijn nu per brief naar mensen gestuurd.
Wat op zich niet erg is, maar wel als het e-mailadres erbij vermeld staat in dezelfde brief.

Hoe stom en niet nadenkend kun je zijn als KPN?

Meh. KPN is momenteel het zwarte schaap en kan niets goed doen in de ogen van de consument, dus wordt alles wat KPN nu doet negatief in het nieuws gegooid. Als ze het wel in 2 brieven hadden gedaan (wat ik persoonlijk overdreven vind voor een mailbox) was het ook niet goed geweest, te moeilijk ofzo.

Dit is werkelijk van een knulligheid zeg!

zeker zo dom is dat de media dit bericht verspreid.

@44 dat is niet wat in het bericht staat: "De klanten die hun wachtwoord wijzigden kregen een bevestiging per mail, maar achteraf ook nog een brief met daarin hun e-mailadres én wachtwoord."
Dat betekent dus dat ze WEL de wachtwoorden zien! omdat ze die na het wijzigen toestuurden.

Dat KPN in de hoek zit waar momenteel de klappen vallen mag duidelijk zijn. Ik heb een mail met een link voor het resetten gehad, maar durf hem niet te gebruiken aangezien iedere maloot deze kan verzenden. Ik kan niet controleren of deze daadwerkelijk van KPN afkomstig is. Ga ze van de week eerts maar eens opbellen om te kijken wat ze kunnen betekenen.

@4 : Spijjker op de kop. Elke ander vorm van opslag is a) vragen om problemen en b) een bewijs van onvermogen.

Maar ja; ergens hoog in de boom zullen ze wel iets tegen het gebruik van hasjiesj hebben. :)

Je mag van een commercieel bedrijf niet verwachten dat veiligheid en service voorop staan.

Ze zijn al haast niet te bereiken, en als dat dat eindelijk toch lukt, dan gaat dat je nog geld kosten ook. Want dienstverlening wordt beboet.

M.i. zouden de peilers van onze infrastructuur geen commerciële instellingen mogen zijn. Of het nou telefonie, energie, drinkwater, wegen, waterwegen, spoorwegen of primaire gezondheidszorg, betreft, je moet erop kunnen vertrouwen. Bovendien zijn onze economische activiteiten daar van afhankelijk.

Ik weet niet of dit geheel duidelijk is : ik heb een brief gekregen met daarin het password wat ik zelf heb opgegeven. Lijkt erop dat de KPN hun passworden niet hashed opslaat waardoor een ieder die zich toegang weet te verschaffen tot het klantenbestand wederom de passworden kan lezen .... regel nummer een passworden zodanig opslaan dat deze niet om te zetten zijn naar plaintext. (Brute force aanvallen daargelaten)

Het lijkt Ajax wel , wat een handelingen uit paniek

@jonkiji (#46)

Overdreven voor een mailbox?! De veiligheid van mailboxen kan niet groot genoeg zijn. In veel gevallen ontvangen gebruikers hier namelijk allerlei activatielinks van andere accounts plus allerlei zakelijke en privécorrespondentie die niet voor de buitenwereld bedoeld is.

@joepii (#52)

Stel je nu voor om dat dan maar aan de overheid over te laten? Diginotar...?

Daar lopen allemaal HP's (high potentials) rond en dan zo'n actie.
Geen bonus maar een schaaltje terug lijkt mij.
Dom dom dom.......................................

@56 : Voor de goede orde; diginotar was geen overheidsbedrijf. Zij waren slechts in (te) grote getale afnemer van dat bedrijf. Spreiding van risico was beter geweest, maar uiteindelijk was men gewoon klant.

Knullig zooitje om nog wachtwoorden en emailadressen over de post te sturen en dat doen de Rabo en ABN ook nog.Ze kunnen veel zeggen over ING,die hebben dat beter voor elkaar.Daar krijg je een oproep waarmee je naar het postkantoor moet en je wachtwoord moet ophalen.Daar moet je je legitimeren en je moet daat je pincode ingeven op een pinapparaat zodat zij kunnen zien of JIJ WEL. de rechtmatige aanvrager bent.

@50

in mijnkpn kan je je WW wijzigen in +- 1 minuut als je er handig in bent

kpn.com > inloggen mijnkpn > prive of zakelijk > inloggen in het inlog scherm die voor jou bedoeld is en dan als je erin zit naar het kopje "wachtwoord" onder mijn gegevens.

indien je het WW van mijnkpn niet meer weet dan kan je zelfs op "gebruikersnaam of WW vergeten" klikken en binnen +- een minuut je mijnKPN WW wijzigen.

mits je op locatie bent, anders wil het niet.

dus het zit opzich wel heel goed in elkaar, alleen de gebruikers naam in de brief is vrijwel onnodig.

Ons werd door kpn gevraagd om het ww teveranderen met de laatste nummers van de bankpas .
Echt niet.

Ondanks alles toch een veel te dik salaris en een nog veel dikkere bonus voor de topmannen. Top mannen, heel goed bezig!!

@21 helemaal mee eens. Maar ik ben lichtelijk verbaast dat hier nooit eerder een punt van gemaakt is, en het nu dus 'nieuws' is (maar in feite gaat het al jaaaren zo).

facepalm.....

Beetje knullig en niet nodig.
Een van de veiligste methodes van reset vind ik nog steeds het sturen van een nieuw, random, wachtwoord naar het bekende email adres van de eigenaar.
Dit direct als expired markeren, zodat het bij de eerste keer dat het wordt gebruikt direct moet worden aangepast naar een eigen wachtwoord.
Als er dan misbruik van is/wordt gemaakt, heb je dat vrij snel in de gaten.

IK was hier mijn WW van de ING kwijt en moest alles opnieuw oprakelen waaronder mijn pasnummer geboortedatum geldigheid van de pas en bankrekeningnummer.En dan voel je wel dat een vreemde niet zo maar effetjes aan je gegevens(lees rekening) kan komen.Daar kunnen vele banken nog een voorbeeld aannnemen.

@63.. Er wordt al jaren WEL een probleem van gemaakt door mensen die snappen dat dit riskant is. Dat de massa dat nou helemaal geen ruk interesseert/niet snapt/nooit over heeft nagedacht, zegt niet dat er dus heel veel mensen wel een punt van maakten.

@61

denk je nauw echt dat zij je bankrekening nummer niet weten?

zou niet best zijn

hacken voor dummies :-) moet kpn maar eens lezen........ wat een N00bs.. ben blij dat ik daar niet bij zit :) denk dat kpn maar eens terug in de schoolbanken moet.....

@18 ZELF lezen. Er zijn hier twee verschillende issues.
1. Werden wachtwoorden gecodeerd opgeslagen?
Er is geen reden aan te nemen dat dat niet gebeurd is. Dat is wel waar jullie in @1 en zo over zeuren. Daar mee heb je het issue dus verkeerd begrepen.
2. Werden wachtwoord en gebruikersnaam samen in 1 brief verstuurd?
Dit gebeurde inderdaad en is ERG fout. Onacceptabel.
Maar het heeft NIETS te maken met het opslaan van een onversleuteld wachtwoord.

@18 En mocht je issue dan zijn dat het ongecodeerde wachtwoord wel in een brief is gezet: Tja, dat is geen probleem. Zelfs je pincode is ooit in een brief gezet. Kwestie van die brief na versturen niet meer electronisch bewaren. Maar omdat een brief onderschept kan worden mag het nooit samen met het wachtwoord in 1 brief verstuurd worden.'
Mocht je vinden dat men het wachtwoord nooit had mogen versturen... Dan mag je een systeem voorstellen waarin je dat niet doet maar toch zeker weet dat je de juiste personen bereikt. Dat lukt je niet. Er is gewoon altijd even een lichtelijk zwakke periode waarin per post iemand toegang krijgt. Zaak voor die persoon om na ontvangst meteen zelf zijn wachtwoord te wijzigen, zodat die zwakke periode zo snel mogelijk voorbij is. Gebeurd dat via https dan krijg je op die manier alsnog een wachtwoord wat in onversleutelde toestand nooit buiten het gesloten systeem is geweest.

@49 : Ook dit is niet geheel ongebruikelijk. Ik beheer zelf een website, waarin we mensen na inschrijving ook een mail sturen met hun - zelfgekozen - wachtwoord daarin. Die mail wordt gelijk bij de inschrijving gegenereerd, en het wachtwoord wordt wel degelijk ge-encrypt opgeslagen.

@48 zie ook reaktie 20
Helaas is soms media aandacht nodig om zaken veranderd te krijgen.

@70 wanneer de wachtwoorden opgestuurd kunnen worden zijn ze dus per definitie niet gecodeerd opgeslagen. Anders hadden ze die nooit meer kunnen herleiden uit de hash codes. En ik zou dit niet als zeuren willen betitelen, het is een belangrijke beveiligingsissue, waar we ons terecht zorgen over maken.
Overigens is je punt in @71 wel goed opgemerkt.

Even (minimaal) 40.000 euro weggooien net alsof het niet is, de klanten maar dokken..

@10 Ookal niet gesnapt? Inderdaad, de lijst met wachtwoorden is niet bij KPN gelekt. Het gaat om wachtwoorden die uit een webwinkel gelekt zijn, maar waarbij de gebruikers bij KPN hetzelfde wachtwoord gebruikten. Kwestie van gelekte email addressen en wachtwoorden systematisch uitproberen op de site van KPN. Daarna heb je dus inderdaad werkende gebruiker en wachtwoord combinaties voor een site waaruit dit zelf niet gelukt is. De hackers hebben daarna doen voorkomen alsof deze gegevens bij KPN waren gelekt omdat dat een stuk stoerder klinkt.
Het staat los van dit verhaal. KPN heeft namelijk wel ingegrepen toen nog niet zeker was of dit een KPN lek was, en om de betreffende gebruikers tegen verder inbreken te beschermen. De wachtwoorden waren immers inmiddels publiekelijk te vinden. Dan duurt het even voor de post verstuurd is, en nog iets langer voor er publiekelijk kritiek op deze methodiek komt.
En precies die laatste kritiek is volledig terecht! Een combinatie van gebruikersnaam en wachtwoord mogen NOOIT tegelijk verstuurd worden! Los uiteraard wel, je moet nu eenmaal een initieel wachtwoord kunnen versturen. Daar is niets mis mee, en dat is waar "stuffie" in #1 en andere posts de mist in gaat.

@61 "Ons werd door kpn gevraagd om het ww teveranderen met de laatste nummers van de bankpas ."

Niet de nummers van je bankpas, maar de laatste 3 cijfers van je bankrekening worden gevraagd ter verificatie. Wat is hiervan het probleem ?

@74 Onzin. Waar haal je steeds vandaan dat de opgestuurde wachtwoorden uit de hash gehaald zouden zijn? Onzin. je genereerd gewoon die combinatie van wachtwoord en hash. Slaat de hash op, en print een brief met het wachtwoord. Klaar. Kan allemaal vol automatisch als je wil. Kwestie van de brief na versturen niet bewaren en alles is weer goed. Maar je hebt in het begin bij generatie ALTIJD die combinatie van wachtwoord en versleuteling. Je kunt daaruit dus niet concluderen wat er in de database wordt opgeslagen.

@74 "wanneer de wachtwoorden opgestuurd kunnen worden zijn ze dus per definitie niet gecodeerd opgeslagen"

Klok en klepel..

Snelle scenarioschets:
1) jij logt in op mijn KPN
2) je wijzigt je wachtwoord in 'iksnaphetnietmaarikzegmaarwat'
3) KPN genereert brief en stuurt het wachtwoord naar je huisadres.
4) Brief (waarin wachtwoord) wordt verder nergens opgeslagen
5) wachtwoord wordt encrypted opgeslagen

klaar..

@53 Ow. Dit veranderd de zaak. Sorry maar als dat inderdaad waar is, dus een brief met daarin een ww wat je zelf via het internet hebt ingesteld betekent het inderdaad wel dat er onversleutelde wachtwoorden zijn opgeslagen. Dat zou heel shockerend zijn.

Dat is echter niet wat in het artikel stond. Wat mij betreft is het nog een extra nieuwsberichtje waard!

kpn blijft een lomp en dom bedrijf

@65. Yep. Alleen lullig als de gebruiker het wachtwoord van het emailaccount kwijt is en dus niet zijn nieuw via email opgestuurde ww kan bekijken ;-).

@15 Misschien is de reguliere manier van wijzigen de helpdesk van KPN bellen en een wijzigingsverzoek aanvragen?

Ik heb 2 Email accounts dus ook 2 brieven gekregen. Hoe dom kan je zijn.

Het lijkt mij aannemelijk dat KPN alle correspondentie in hun klanteninformatiesysteem opslaat. Als dit zo is heeft iedere helpdeskmedewerker van KPN toegang tot de betreffende brief en dus tot het account van de klant.

Sjonge een wachtwoord van een provider emailadres kan je best gewoon mailen in een brief, beetje lomp maar niet zo schokkend. Het is een "maar" email account van een provider, mensen doen net of dat een mailsysteem met dikke SLA's en guaranteed 99,9% uptime is. Nee dat is best effort, daardoor blijft het betaalbaar, en dat is gewoon het hele verhaal. Accepteer gewoon dat dingen ook stuk kunnen, heel simpel gezegd, het heeft toch geen dagen en dagen geduurd? Niet dat ik zo een hoge pet op heb van hoe het geregeld is bij KPN, maar die nonsens kan ik niet tegen dus ik moest het even kwijt.

Vreemd verhaal. Ik kreeg een mail met daarin een link: door die link aan te klikken moest je een aantal aanwijzingen doorlopen en dat schijnt te zijn gelukt. Wat moet je nou weer met zo'n bericht?

@74@71@79
Word tijd dat jullie eens inlezen op het gebruik van public en private keys.

Als je zo iets stoms doet dan bén je geen provider. Wat een appeltje-eitje uit het IT beheer is dit toch zeg! Password en loginnaam in één en dezelfde communicatie.

KPN een shitbedrijf. Ik ben er een paar jaar geleden a lmee gekapt
Alleen als op grote schaal mensen bij KPN hun abbonnement opzeggen, zullen ze pas wakker worden. Zoniet dan verdwijnen ze vanzelf.
Je kunt je niet veroorloven om zo'n bedrijfsvoering er op na te houden in deze tijd.

blup, blup, als je het ww binnen hebt moet je het gewoon direkt wijzigen......
blub...

@89 en jahoor, nog zo'n klok/klepel geval. Heeft er helemaal niets mee te maken Hanz kazan.

Het grappige is dat in mijn brief niet het juiste nieuwe wachtwoord staat...