140.000 KPN DSL accounts lek door beveiligingsfout

Afbeelding: KPN Tower van Borja Iza | Licentie: CC BY-NC 2.0

Het account van de beheerder van een zakelijke DSL verbinding van KPN werd standaard uitgeleverd met het wachtwoord “welkom01”.

In het artikel 140.000 KPN ADSL-accounts lek door welkom01-fail schrijft Webwereld:

Iedereen kon met minimale inspanning inloggen op het beheeraccount van abonnees van zakelijke ADSL. KPN heeft namelijk abonnees jarenlang het standaard wachtwoord ‘welkom01’ gegeven. Dit wachtwoord hoefde niet gewijzigd te worden en is daarom ook door een grote meerderheid ook nooit gewijzigd.

In combinatie met de vaste, eenvoudig te achterhalen gebruikersnaam van ‘postcode+huisnummer’ kan een onbevoegde in principe toegang verkrijgen tot circa 140.000 accounts.

Achter deze inlog, het zogeheten Customer Self Center, kunnen zakelijke ADSL-klanten hun persoons- en contactgegevens, bankrekeningnummer, soort abonnement zien én wijzigen. Ook kan het wachtwoord hier worden gewijzigd. Daarnaast kunnen aanvullende diensten als pinnen over IP en zakelijk alarm worden aan- of uitgezet. En derden konden dit alles dus ook. Deze website is bovendien niet versleuteld met SSL.

KPN meldt zelf in het artikel KPN verbetert inlogbeveiliging online self care omgeving voor Zakelijke ADSL-klanten na tip:

Na de tip van Webwereld heeft KPN geconstateerd dat een kleine 120.000 van de in totaal 180.000 Z-ADSL klanten dit standaardwachtwoord niet hebben gewijzigd. Daarnaast blijkt dat circa 20.000 klanten de gebruikersnaam óók als wachtwoord gebruiken. Klanten lopen hierdoor het risico dat onbevoegden tamelijk eenvoudig op hun self care pagina zouden kunnen inloggen.