Een KPN-monteur vergat zijn laptop bij een klant, die daardoor volledige toegang tot de laptop kreeg. De laptop werd overhandigd aan journalisten van Trouw, die bij gevoelige data van onder anderen medewerkers en (zakelijke) klanten konden komen, schrijft de krant dinsdag.

De laptop was niet beveiligd met een wachtwoord. Ook waren bepaalde bedrijfswebsites samen met de inloggegevens voor deze sites opgeslagen in de browser. Hierdoor kon een kwaadwillende moeiteloos toegang krijgen tot onder andere het intranet van KPN. Woordvoerders van de providers reageerden dinsdagochtend niet op de vragen van NU.nl.

Als test openden de Trouw-journalisten het intranet van KPN. Ze konden hierop inloggen zonder beveiligde verbinding of tweestapsverificatie. Hier vond de krant gegevens van zestienhonderd klanten uit de private en publieke sector, waaronder de Nederlandse overheid, het Amerikaanse leger en de NAVO.

Ook waren er vele vertrouwelijke documenten beschikbaar in de internetomgeving, die voor alle medewerkers toegankelijk is. Zo werden organisatieschema’s gevonden met verwijzingen naar onder meer de AIVD en het Koninklijk Huis. Trouw meldt dat dergelijke communicatiediensten onderdeel zijn van de vitale infrastructuur, waarvan de details niet naar buiten mogen komen.

Ook gegevens van KPN-medewerkers in te zien

In de dossiers waren ook de gegevens van KPN-accountmanagers inzichtelijk. Het ging om pasfoto’s, contactgegevens en namen van leidinggevenden.

Dergelijke data kunnen bijvoorbeeld misbruikt worden om onder meer CEO-fraude te plegen. Bij CEO-fraude mailen hackers een financieel directeur met het verzoek geld over te maken namens de algemeen directeur.

Dertienduizend medewerkers van KPN hebben toegang tot het intranet. Onder hen bevinden zich ook uitzendkrachten en partners van het Chinese techbedrijf Huawei. KPN heeft de zaak gemeld bij de Autoriteit Persoonsgegevens.

Source