Datalek van KPN gemeld bij Autoriteit Persoonsgegevens

Er is door KPN een datalek gemeld bij de Autoriteit Persoonsgegevens nadat een monteur een (onbeveiligde) laptop met vertrouwelijke informatie achterliet bij een klant en deze nooit meer ophaalde, meldt Trouw. De krant schreef dat het mogelijk was om zonder wachtwoord de laptop binnen te komen.

Gevoelige informatie

Er waren op de laptop inloggegevens van verschillende bedrijfswebsites in de browser bewaard. Het was via deze gegevens mogelijk om toegang te krijgen tot het intranet TeamKPN. Een tweefactorauthentificatie gebruiken bleek onnodig. Ook konden er via het intranet vertrouwelijke documenten als organisatieschema’s met verwijzingen naar de AIVD, het Koninklijk Huis en het ministerie van Defensie worden ingezien.

Daarnaast werd er een bestand aangetroffen met de namen van zestien duizend publieke en zakelijke klanten. Het ging hierbij om luchthavens, banken, bouwbedrijven, legeronderdelen, medische centra en ministeries. Er zijn ook gegevens gevonden van KPN-accountmanagers, waaronder e-mailadressen, pasfoto’s, leidinggevenden en telefoonnummers.

Beleid

KPN heeft laten weten dat het bedrijf een ‘betrouwbaar en solide security-beleid’ voert voor apparatuur gebruik door eigen werknemers en monteurs van derde partijen. Volgens de woordvoerder van KPN wordt dit beleid per kwartaal geactualiseerd volgens de meest recente eisen en ontwikkelingen. Na het incident gaat KPN de gemaakte afspraken ende naleving hiervan nogmaals bekijken. De laptop is door Trouw teruggegeven. Het incident is inmiddels door KPN bij de Autoriteit Persoonsgegevens gemeld.

Bron: Security.nl