KPN is opnieuw in verlegenheid gebracht. Een half jaar na de serverhack van KPN-dochter Gemnet heeft de telco halsoverkop nog een gestolen certificaat ingetrokken, na een tip van een hacker.

KPN heeft de op zich al gênante hack van PKI Overheidscertificaatverstrekker Gemnet zeer slordig afgehandeld. Het is vergeten ten minste één gecompromitteerd certificaat van de Gemnet-server te revoken. Pas na een tip van hacker Rickey Gevers heeft KPN het certificaat op 1 juni ingetrokken.
Gestolen certificaat vergeten

Gevers schrijft dat hij het certificaat, voor "webchat.gemnet.nl", via via heeft gekregen. Volgens hem hebben waarschijnlijk meerdere hackers op de lekke server rondgeneusd afgelopen december. Gevers heeft een blogpost met demonstratie gepubliceerd van een scenario om het gestolen certificaat te misbruiken.

KPN meldt dat het certificaat op 1 juni is ingetrokken, na een tip. Daarna heeft KPN de zaak verder doorgelicht. "Uitkomst van dit onderzoek is dat er geen bestaande, ongebruikte certificaten zijn aangetroffen", aldus het concern in een verklaring.
Gemnet-server gehacked

Volgens KPN is de huidige dienstverlening van Gemnet niet in gevaar en heeft "het incident geen enkele relatie met de PKI Overheid dienstverlening van KPN". Het bedrijf kon nog niet reageren op aanvullende vragen van Webwereld.

In december bleek dat de website van KPN-dochter Gemnet, leverancier van PKI Overheidscertificaten, was gehacked. Een beheerpagina gaf toegang tot documenten en database. KPN haalde daarop de site offline. Het systeem van PKI Overheidscertificaten zou niet zijn gecompromitteerd.
Niks geleerd na DigiNotar

Veel details staan er niet in het bericht van KPN. Typisch, vindt techjournalist Brenno de Winter, die destijds de hack van Gemnet onthulde. "Dit bedrijf begrijpt nog steeds niet dat ze een brede maatschappelijke verantwoordelijkheid hebben. Hebben ze na DigiNotar nog steeds niks geleerd?", vraagt De Winter zich vertwijfeld af.

Hij vindt het bizar dat KPN na een half jaar getipt moet worden over het gestolen certificaat. De Winter: "Dat hadden ze natuurlijk meteen na de hack in december moeten ontdekken en revoken."