HCC: Privacygevoelige informatie KPN-klanten op straat
13/02/2009 06:30
HCC
Een groot aantal KPN-klanten met een 'Internet plus bellen'-abonnement hebben een privacyprobleem. Het gaat om gebruikers van het zwarte type Experiabox/Speedtouch 780 met WLAN. Dit modem is standaard voorzien van een WPA-beveiliging voor WLAN, waardoor gegevens worden gecodeerd. De beveiliging van dit type modem kan echter makkelijk worden gekraakt. HCC-directeur Petra Claessen: "Het lijkt erop alsof KPN slecht beveiligde modems heeft verstrekt. Zo ligt privacygevoelige informatie van vele computergebruikers op straat".
Het privacylek ontstaat doordat de Experiabox/Speedtouch 780 een deel van het serienummer verstuurt als identificatie (SSID). Aan de hand van dit serienummer kan de WPA-sleutel gemakkelijk worden berekend. De methode om aan de hand van het serienummer de WPA-sleutel te berekenen, lekte een aantal maanden geleden uit. Onbevoegden kunnen zo binnen het draadloze bereik van het modem met eenvoudige apparatuur gegevens aftappen, het netwerk misbruiken voor illegale praktijken of bellen op kosten van de abonnee.
Ondeugdelijke aanbeveling
Nadat het beveiligingslek bekend werd, adviseerde KPN haar abonnees de uitgezonden naam (SSID) aan te passen. Een ondeugdelijk aanbeveling, want ook na deze naamswijziging kan iemand met de WPA-sleutel het netwerk blijven misbruiken. Volgens KPN werd bovendien bij 'Internet plus bellen' de mogelijkheid om via WLAN te telefoneren op afstand uitgeschakeld. Over deze vermindering van functionaliteit werden abonnees niet geïnformeerd.
HCC adviseert gebruikers modem
HCC, de vereniging van computergebruikers met ruim 150.000 leden, informeert gebruikers van het betreffende modem over hoe zij het veiligheidslek kunnen dichten. Zo adviseert de vereniging de WPA-code en de SSID te veranderen en, indien mogelijk, de uitzending van SSID uit te zetten. Het volledige advies is te lezen op www.hcc.nl.