'Beveiliging laptops KPN niet op orde'

De KPN-monteur vergat zijn laptop bij een klant en haalde hem vervolgens ook nooit meer op. Trouw besloot de beveiliging van de laptop te testen en kon moeiteloos bij veel gegevens komen. Allereerst had het beginscherm geen wachtwoord, zodat inloggen niet nodig was. Bovendien waren diverse websites van het bedrijf bewaard in de browser, inclusief gebruikersnaam en wachtwoord.

Trouw kon ook het intranet TeamKPN openen. Van een beveiligde verbinding of een vorm van 2FA was hierbij geen sprake. In TeamKPN was vervolgens bijzonder veel vertrouwelijke informatie te vinden. Daarbij ging het onder meer om organisatieschema’s met verwijzingen naar de AIVD, Defensie en het Koninklijk Huis, gegevens van 16.000 klanten en de bijbehorende account-managers van KPN, inclusief mailadres en mobiel nummer. KPN is een belangrijke leverancier voor een groot aantal kritieke infrastructuren, wat dit lek extra pijnlijk maakt.

Ook partners Huawei

Tot het intranet blijken 13.000 KPN-medewerkers toegang te hebben. Maar ook uitzendkrachten en partners van bijvoorbeeld Huawei hebben hier toegang toe.

KPN heeft inmiddels naar aanleiding van de bevindingen van Trouw een melding gedaan bij de Autoriteit Persoonsgegevens.

De monteur die de laptop vergat, werkte voor een uitzendbureau. KPN meldt aan Trouw dat het een ‘betrouwbaar en solide security-beleid’ heeft voor het gebruik van apparatuur voor de eigen medewerkers. Voor ingehuurde krachten gelden vergelijkbare eisen.

De klant waar de laptop was achtergelaten heeft nog geprobeerd die te laten ophalen, maar stuitte op de klantenservice van KPN die niet op zijn melding reageerde. Daarop gaf hij de laptop aan Trouw. Het dagblad heeft deze inmiddels teruggegeven aan de monteur.