Vergeten onbeveiligde laptop van monteur gaf toegang tot intranet KPN

Een onbeveiligde laptop van een monteur van KPN die bij een klant is vergeten gaf toegang allerlei bedrijfswebsites, waaronder intranet TeamKPN. Desondanks is de laptop nooit bij de klant opgehaald.

Dit meldt Trouw, dat naar aanleiding van het incident een onderzoek startte naar de beveiliging van KPN. Het dagblad concludeert dat KPN zijn beveiliging niet op orde geeft. Zo was de laptop niet beveiligd met een wachtwoord, terwijl deze toegang geeft tot interne systemen van KPN. Zo blijken allerlei interne systemen als snelkoppeling te zijn opgeslagen in de webbrowser, inclusief inloggegevens. Wie de laptop in handen heeft kan hierdoor met enkele muisklikken toegang krijgen tot systemen van KPN.

Gegevens van 16.000 klanten

Trouw nam de proef op de som en wist via de laptop contact te leggen met het intranet TeamKPN. Hier trof het dagblad onder meer een bestand aan met 16.000 zakelijke en publieke klanten, variërend van luchthavens en legeronderdelen tot ministeries en medische centra. Als voorbeeld noemt Trouw de vermelding 'Comm 701 Munss Volkel', dat blijkt te verwijzen naar het 703rd Munitions Support Squadron van de Amerikaanse luchtmacht.

Ook zijn allerlei gegevens over accountmanagers van KPN te vinden, waaronder pasfoto's, e-mailadressen, telefoonnummers en leidinggevenden. Dergelijke informatie kan door kwaadwillenden onder meer worden ingezet voor CEO-fraude, waarbij een aanvaller zich voordoet als de CEO van een bedrijf. Ook voor spear phishing kan de informatie interessant zijn. Daarnaast wijst Trouw erop dat 13.000 medewerkers van KPN toegang hebben tot het intranet en daarmee de gegevens van KPN-klanten. "Ook partners van het Chinese techbedrijf Huawei en uitzendkrachten kunnen er rondkijken", schrijft Trouw.

Vermissing gemeld

De laptop is inmiddels teruggegeven aan de monteur. "Omdat hij het apparaat niet dagelijks gebruikte, wist hij niet waar hij het was kwijtgeraakt. Hij kon de laptop dus niet ophalen. Hij werkte via een uitzendconstructie, wat niet ongebruikelijk is bij KPN, en heeft de vermissing gemeld. De klant had de klantenservice van KPN gebeld over de achtergelaten laptop, maar kwam daar niet verder. Hij gaf de laptop aan Trouw uit bezorgdheid over het gebrek aan beveiliging bij KPN", schrijft Trouw.

KPN meldt in een reactie niet te hebben kunnen achterhalen om welke specifieke laptop het gaat. Het bedrijf heeft van de zaak melding gemaakt bij de Autoriteit Persoonsgegevens.

Meer informatie is hier te vinden.