DEN HAAG – Duizenden zakelijke klanten van KPN blijken een standaard inlognaam en wachtwoord te gebruiken op hun router. Hierdoor kunnen onbevoegden toegang krijgen tot de internetverbinding van ondernemingen.

Dat blijkt uit onderzoek van hacker Getruida van het Genootschap van Hackende Huisvrouwen, die onderzoek deed naar de beveiliging van de internettoegang.

Bij klanten met Zakelijk DSL wordt de internettoegang via een instelbaar modem gebruikt. Wie dat verkeerd instelt blijkt het risico te lopen dat onbevoegden zich kunnen aanmelden op de router en vanuit daar kwaadaardige aanvallen doen.

“Bij de hack op KPN was het de corerouter, waardoor de hackers konden inbreken op het interne netwerk”, vertelt Getruida in een reactie. “Voor kleinere bedrijven is dit ook de corerouter.”

Projectteam

NU.nl heeft het probleem vrijdag aan KPN gemeld en een lijst van 2600 gevoelige routers aangeleverd. Het bedrijf besluit hierop hun volledige klantenbestand van zakelijke gebruikers te controleren, omdat dit probleem eigenlijk niet mag voorkomen.

“De routers van KPN worden standaard geleverd met een firewall waardoor het niet mogelijk is om er van buitenaf bij te komen, ook niet voor ons”, zegt KPN-zegsman Stefan Simons tegenover NU.nl.

Onderzoek

“Uit het onderzoek dat wij hebben gedaan is gebleken dat een zeer klein deel van onze zakelijk DSL-klanten de firewall van de router op een lager niveau heeft staan”, stelt Simons. Daarbij zou het gaan om één procent van de klanten.

Uit de jaarcijfers blijkt dat de onderneming 176.000 klanten heeft en zou het dus om zo’n 1760 bedrijven gaan. Daarbij stelt Simons wel dat op basis van een steekproef is gebleken dat sommige klanten de inloggegevens wel hebben aangepast.

“Het aantal klanten dat zowel de standaard username/password heeft ingesteld én de firewall heeft verlaagd, is dus gering”, stelt Simons.

Hoeveel klanten kwetsbaar zijn kan KPN niet precies zeggen. Ook Getruida kan daar geen uitsluitsel over geven omdat zij niet alles heeft gescand. Zij wijst erop dat bedrijven instellingen ook kunnen veranderen. “Maar je zit zo op duizend”, stelt ze. NU.nl heeft tien voorbeelden geverifieerd.

Klanten inlichten

“KPN gaat de klanten die de firewall op een lager niveau hebben staan wel adviseren deze weer op het standaard hoge niveau te brengen. Deze klanten krijgen van ons vandaag en morgen een persoonlijk bericht waarin we uitleggen hoe ze dit kunnen doen”, stelt Simons.

Het bedrijf zet ook adviezen neer op hun website. Als klanten er prijs op stellen gaat het bedrijf hulp bieden bij het aanpassen van wachtwoorden.