Planet lekt persoonsgegevens alle abonnees.

Internetprovider Planet heeft door een tikfout alle persoonsgegevens van haar abonnees op het internet gelekt, en besloot pas na twee weken maatregelen te nemen. Door een tikfout belandde een backup van de klantgegevens in de webruimte van een abonnee, die bijna dezelfde naam als de systeembeheerder had die de backup uitvoerde. Het gaat om zo'n 2,5 miljoen klantnummers, e-mailadressen, aliassen en versleutelde wachtwoorden van particuliere en zakelijke Planet-klanten.

Wat voor hashing algoritme Planet gebruikt is niet bekend, maar de klant die alle abonneesgegevens ontving kan dit aan de hand van zijn eigen wachtwoord en hash en het programma hashmaster achterhalen.

Ondanks het inlichten van de provider reageerde die niet op de ontdekking, waardoor de klant zich genoodzaakt zag het in de openbaarheid te brengen. De ISP heeft nu de backup routine verboden en noemt het fout en stom dat het heeft kunnen gebeuren. KPN zal de klant vragen of hij de backup wil verwijderen.

We hebben zelf ook een woordvoerster van KPN gesproken, omdat het toch zeer schokkend te noemen is dat een professionele organisatie op zo'n manier met klantgegevens omgaat. Volgens woordvoerster Eke Wolters moest de systeembeheerder een backup maken en gebruikte hij hiervoor de webspace van de provider, waarbij het dus misging. Opmerkelijk is dat dit helemaal geen standaard procedure is en de beheerder uit zichzelf handelde. Het is ook nooit eerder voorgekomen en nu toevallig ontdekt, aldus Wolters, die benadrukt dat het echt een eenmalige actie betreft.

De KPN is niet van plan om al haar klanten in te lichten, omdat de wachtwoorden versleuteld zijn, en het daarom niet noodzakelijk is dit te doen. Wel gaat de provider in de vorm van nazorg de afdeling die door de Planet klant werd gewaarschuwd nogmaals aansporen om dit soort meldingen direct door te sturen naar het security team van de provider.

Bron: Security.nl