De selfservice omgeving MijnKPN voor klanten van KPN is deze week door de organisatie tijdelijk dichtgezet. Ongeveer 187.000 klanten kunnen hierdoor tijdelijk niet inloggen, en geen facturen inzien of overige gegevens wijzigen.
Reden voor het dichtzetten van de website zijn privacy-problemen. Het bedrijf besloot tot deze actie nadat ongeveer 50 klanten bij KPN hebben geklaagd dat zij gegevens van andere klanten konden inzien. Eerder haalde KPN al de MijnKPN App voor mobiele devices offline vanwege dezelfde problemen.
Klanten die gebruik maakten van de website of app kregen in plaats van hun eigen gegevens, de oude gegevens van andere klanten te zien. Het gaat hierbij om persoonlijke gegevens, gegevens over producten en factuurgegevens. Toegang tot webmail en wachtwoorden is volgens KPN niet in het geding geweest.
Naast de inbreuk op privacy levert dit ook risico’s op: zo kan een kwaadwillende gebruiker met behulp van de persoonlijke gegevens van een klant in combinatie met het laatste factuurnummer en -bedrag, via een social engineering aanval op de helpdesk het wachtwoord van de mail laten resetten.
KPN heeft de problemen met de MijnKPN omgeving in onderzoek.