SwitchPoint Incasso is onveilig door fraude-gevoeligheid

    

The text below contains important information for residents of The Netherlands having a landline telephone (ISDN or the older "regular" PSTN system) subscription of KPN, in combination with ADSL/Cable and the use of Wireless Lan Access Points.

(Sorry, Dutch language only)


Update (12/8, 18:25): om snel op de hoogte te raken, kun je bekijken wat de media publiceerden.
Vergeet niet om vervolgens de rest van deze pagina te lezen, zodat je geinformeerd raakt over de achtergronden van dit probleem dat 6,1 miljoen KPN klanten raakt.


WAARSCHUWING AAN DE KPN

Gepubliceerd op 13 augustus 2004, 15:35 uur

KPN, sinds gisteren zijn er op deze site circa 6.000 bezoekers geweest en geinformeerd geraakt over de zwakheden bij praktische toepassingen van SwitchPoint Incasso.
Wilt u raden welk aantal van deze mensen in staat geacht mag worden om de risico's op misbruik van SwitchPoint Incasso (waarover ik waarschuw), realiteit te laten worden? Ieder antwoord boven het aantal nul, zal ik for-arguments-sake accepteren.
Om 1 moment even uw geloof in de goedheid van de mensheid over te nemen: mijn lezers (hoewel ik ze niet persoonlijk ken), zouden natuurlijk nooit dergelijke fraude plegen, dus dit is uiteraard hypothetisch gezien...

KPN, ik houd u aansprakelijk voor alle klachten en financiŽle schade door ongewenste betalingen door middel van SwitchPoint Incasso die komende maanden geclaimd zullen worden, voor iedere seconde dat u weigert om alle telefoonaansluitingen van uw vaste net naar opt-in om te zetten.
Inderdaad: iedereen afsluiten van SwitchPoint Incasso en hen uitnodigen om het aan te vragen.

Sinds de publiciteit hierover is de kans aanzienlijk toegenomen dat kwaadwillenden aan de slag gaan om nietsvermoedende mede-consumenten te duperen.
Kennis is macht, zeker op dit moment. U draait het om: gebrek aan kennis maakt kwetsbaar.

Ik zie iedere paar minuten wel een entry in mijn nedstat voorbij komen met "KPN, Nederland", dus ik weet dat u dit leest. Onderneem actie voordat u verder onderhanden genomen wordt in de politiek, media en op websites als de mijne. De gevolgen daarvan zullen u niet bevallen, net zo min als het ons als consumenten (ik vermoed dat ik zeker namens 90% of meer van de 6000 bezoekers van de afgelopen 24 uur spreek) niet bevalt dat u met ons doet wat u goeddunkt. Graag uw reactie.

PS: Voor de correctheid (die ik immers zelf propageer) heb ik deze tekst ook gestuurd naar info@switchpoint.nl en het perscentrum van KPN (via webform).


Update (13/8, 14:50): ter bevordering van de leesbaarheid zal ik binnenkort de pagina opnieuw indelen. Ook zal ik op aanraden van lezers een aantal vragen gaan sturen naar de Nederlandse Vereniging van Banken omtrent de incasso praktijken van KPN, maar ook van andere aanbieders.

Dit vormt m.i. een onderliggende oorzaak van het probleem:
Is de huidige betaling/incasso/consumenten/etc.-wetgeving nog wel up2date, gezien de toenemende complexiteit van de maatschappij? Ik neem aan dat KPN de juridische perspectieven van haar handelen wel tot in de puntjes heeft onderzocht, maar is die gang van zaken wenselijk vanuit maatschappelijk perspectief?
Megamoeilijk onderwerp, maar gezien de huidige aandacht misschien mooi meegenomen als de media dat oppikken? Iemand alvast wat tips hierover? Mail me svp.


Samenvatting

De 0900-fraudes, spookafschrijvingen van bankrekeningnummers , en ongewenste betaal-smsjes: het zijn allemaal symptomen van niet-transparante betaalmethoden die al dan niet door misbruik/fraude leiden tot een hoop ellende.

In de hiernavolgende beschrijving probeer ik aandacht te vragen voor een probleem dat de drie voorgaande voorbeelden doet verbleken. Ik hoop dat de politiek en toezichthouders de KPN kunnen dwingen SwitchPoint Incasso direct stop te zetten, en alleen nog op aanvraag aan te sluiten.

De dienst waarover ik het heb kan leiden tot 3000 euro schade per keer (!) door fraude van diverse afkomst (uw gezinsleden, huisgenoten, spyware, computervredebreuk, etc.). Ongeacht of u dit wilt, loopt u als klant van het KPN vaste telefonie-net (en ADSL/inbel-internetgebruiker bij een willekeurige provider) dit risico. En ongeacht of u via Tele2 of een andere carrier (pre-)select belt. Er bestaat nog niet eens een mogelijkheid om van deze dienst af te komen. U zit hier voorlopig gewoon aan vast. Er zijn 6,1 miljoen klanten vastnet telefonie. En net als u zijn deze personen niet vooraf geinformeerd of gevraagd naar hun toestemming.

KPN claimt dat TNO de technologie goedgekeurd heeft als veilig betaalmiddel, maar ik noem hieronder een aantal bezwaren die TNO niet zal kunnen weerspreken met feiten. En daarop is niet getest? Waarom: TNO is mede-aandeelhouder in de technologie Klipping die aan de basis van SwitchPoint Incasso ligt.

Op deze pagina vindt u: de verdere uitleg van het probleem, de eerste reactie van KPN, of de reactie van KPN op navraag door mijn collega's, en publiciteit die ik probeer te geven aan dit probleem. Deze informatie staan hieronder op (min of meer) chronologische volgorde waarop ik ze sinds 6 augustus heb verzameld en uitgebreid.


Uitleg: Initiele waarschuwing

Gepubliceerd op 6 augustus 2004

Op de vaste telefoonlijn van KPN die u kunt gebruiken om te internetten, staat standaard een incasso technologie aan, die zonder uw persoonlijke opdracht tot 3.000 euro kan afschrijven van uw bankrekening.

SwitchPoint Incasso

Switchpoint Incasso is een nieuwe dienst van KPN (zie persbericht, of website). Er is geen extra software nodig; iedere gebruiker van uw internetverbinding die uw telefoonnummer en bankrekening nummer (waarmee u de KPN betaalt) kent, kan zonder verdere controle van uw exacte identiteit toestemming geven voor incasso van bedragen tot 3.000 euro per keer.

Veiligheid van Klipping

De technologie waarop dit gebaseerd is (deze heet klipping; zie website), is bij gecontroleerd gebruik van uw pc en internetverbinding relatief veilig, ongeveer vergelijkbaar met credit cards. Echter, de dienst is standaard voor alle ADSL/Kabel/inbel internetgebruikers in Nederland geactiveerd, behalve bij XS4All.

Dus zonder verdere controle vooraf heeft u van KPN de beschikking gekregen over 3.000 euro krediet per transactie. Dit wordt binnen enkele dagen van uw rekening afgeschreven. Ook lijkt er geen verzekering tegen misbruik te bestaan, zoals deze voor credit cards geldt.
Is dit een acceptabele gang van zaken voor u?

Gevaar door sociale risico's

Door gebrek aan controle op identiteit heeft iedereen binnen uw huis toegang tot de betaalmethode via uw bankrekening. Familieleden of huisgenoten kunnen zonder uw medeweten op uw kosten bijvoorbeeld vliegtickets boeken.

Is het zo dat deze personen gebruik maken van uw internetaansluiting, toegang hebben tot uw post en daarmee uw bankafschriften, en uw telefoonnummer kennen? Dat is voldoende. Maar buiten deze sociale risico's, is er een ander probleem.

Gevaar bij gebruik Wireless LAN Access Points

Indien uw internet toegang niet geheel afgeschermd is tegen onbevoegd gebruik, is er een kleine kans dat u dit aanzienlijke narigheid kan opleveren. Zeker wanneer u een toegangspunt voor draadloos LAN op uw internet-aansluiting heeft geplaatst loopt u risico.

Wireless LAN is namelijk niet 100% veilig, zelfs niet wanneer alle beveiligingstechnieken volledig aanstaan (zie dit artikel). Indien onbevoegden zichzelf toegang weten te verschaffen tot uw huisnetwerk, en daarmee tot uw internetverbinding, zou het redelijk eenvoudig kunnen zijn om ook uw telefoonnummer te vinden in de telefoongids. Zou men dan niet een beetje moeite kunnen doen om uw bankrekeningnummer te onderscheppen, bijvoorbeeld door uw brievenbus leeg te hengelen? En waar is uw rekeningnummer overal bekend?
Meer is er niet voor nodig om een afschrijving van uw rekening te laten goedkeuren, aangezien uw identiteit verder niet gecontroleerd wordt.

Gevaar door spyware en slecht geconfigureerde firewalls

Initieel zie ik Wireless LAN als grootste kwaaddoener (naast de sociale risico's vanuit gezinsleden en huisgenoten), maar ook bijvoorbeeld spyware kan leiden tot schade. Vooral gezien recente waarschuwingen over dit fenomeen kunnen KPN en TNO het risico niet weerspreken.

Fraude-gevoeligheid

Het is voor kwaadwillende personen met de juiste kennis vrij eenvoudig de juiste spyware te ontwikkelen, of te detecteren waar zich kwetsbare draadloze netwerken bevinden (een ritje van 10 minuten met een geschikte laptop door een willekeurige stad geeft zo al tientallen Access Points, waarvan circa de helft totaal onbeveiligd). De lokatie van een dergelijk kwetsbaar Access Point is door middel van een ruwe driehoeksmeting terug te brengen tot het niveau van enkele adressen. Op basis daarvan is in niet al te dicht bebouwde buurten vrij eenvoudig aan een telefoonnummer te komen door te zoeken op basis van een adres.

De wetenschap dat afschrijvingen normaal gesproken pas een flinke tijd later opgemerkt zullen worden, maakt dit een relatief veilige, en lukratieve manier om te frauderen.

Zet SwitchPoint Incasso uit!

Wanneer u niet de behoefte heeft om de dienst Switchpoint Incasso te gebruiken, dan kunt u veiligheidshalve beter KPN deze dienst laten afsluiten.

Neem hiervoor contact op met:
p.a.j.n.vanleeuwen - at - kpn.com
of bel met 070-4514000

Update: nader onderzoek heeft aangetoond dat dit nog steeds niet kan! Zie hieronder.


Update: hoax?

Gepubliceerd op 7 augustus 2004

Er is mij gevraagd of ik mij niet liet meeslepen door een hoax: een goedgelovig verhaal dat zich uitbreidt tot een bepaald soort rage.
Ter antwoord kan ik hierop melden, dat de informatie telefonisch door mij gecontroleerd is bij SwitchPoint zelf (op het bovenstaande nummer).
Op mijn vraag of het vanaf thuis invullen van een telefoonnummer en bankrekening nummer voldoende was antwoordde men: ja, mits vanaf het thuisnummer ingebeld was of ADSL gebruikt werd.
Ik vroeg vervolgens of er nog in tweede instantie een of andere controle plaatsvond of goedkeuring werd gevraagd. Hierop antwoordde men dat bij de bestelling als antwoord een transactienummer werd meeverstuurd, maar dat er verder geen bevestiging gevraagd zou worden.
De volgende vraag was, of op welke manier dan een transactie ongedaan gemaakt kon worden. Dit zou alleen via de betreffende instantie (de webshop dan wel incasserende partij) kunnen.

Helaas, geen hoax dus. Overtuig uzelf en bel het nummer. Stel de bovenstaande vragen.


Update: Reactie KPN

Gepubliceerd op 9 augustus 2004

Op mijn verzoek om SwitchPoint Incasso uit te zetten voor onze telefoonlijn, zegt KPN het volgende:

Reactie #1 van KPN

From: p.a.j.n.vanleeuwen - at - kpn.com
To: t.kuipers - at - student.utwente.nl
Subject: RE: SwitchPoint Incasso uitzetten

Geachte heer


Onlangs heeft u aangegeven geen gebruik te willen maken van SwitchPoint Incasso voor het verrichten van betalingen via het internet. U heeft KPN daarom verzocht deze dienst voor u uit te schakelen.


De verificatie voor SwitchPoint Incasso gebeurt door gebruik te maken van nummerherkenning op het vaste Telefoonnet van KPN. Deze nummerherkenning is echter niet mogelijk als de faciliteit nummerweergave is uitgeschakeld. Door het uitschakelen van deze faciliteit is de verificatie die nodig is voor Switchpoint Incasso dan niet meer mogelijk. Hierdoor kunt u ook geen gebruik meer maken van Switchpoint Incasso.
Uitschakelen van de faciliteit kunt u doen op KPN.com of via de selfservicelijn van KPN op nummer 0900-0224.

In de nabije toekomst zal het ook mogelijk worden om specifiek te kiezen voor blokkering van SwitchPoint Incasso, zonder nummerweergave uit te zetten. De voorbereidingen hiervoor zijn reeds gestart.


Ik hoop u hiermee van dienst te zijn geweest.


Met vriendelijke groet,


P. A. J. N. van Leeuwen
KPN Multimedia Services

Waarschuwing: 0900-0224 is een betaalnummer

Het zelfservice nummer wat dhr. Van Leeuwen aanbeveelt (0900-0224), is een betaalnummer wat Eu 1,30 kost per gesprek. Aan u de keuze of u dit wilt gebruiken; ik heb direct opgehangen.
Ik ga uit van de welwillendheid van dhr. Van Leeuwen om mij te helpen, en vermoed een typefout: mijn zoektocht levert 0900-0244 op als het klantenservice nummer voor consumenten.

Conclusie

Dus behalve dat men de brutaliteit heeft (zeker gezien de geschiedenissen van 0900-fraudes en spookafschrijvingen) om geen opt-in aan te bieden maar er een standaarddienst van te maken, bestaat er nog geen opt-out procedure! Ik ben flabbergasted... Misschien stop ik maar met afstuderen en ga ik met een laptopje in een auto door Nederland rijden...


Update: collega's hebben het gecontroleerd

Gepubliceerd op 9 augustus 2004, 13:20 uur.

De discussie is wat uitgebreid. Hieronder tref je het antwoord op de mail van een collega die navraag heeft gedaan over de waarheid van de informatie op deze site. Gelukkig werd ik bij het antwoord betrokken. Je ziet eerst de reactie van KPN, daarna mijn reactie naar zowel de collega als KPN. Omwille van zijn privacy is de naam van mijn collega gecensureerd.

Reactie #2 van KPN

From: p.a.j.n.vanleeuwen -at - kpn.com
To: [censuur: naam collega] - at - [bedrijf].com
Cc: mail - at - tjallingkuipers.nl
Subject: RE: waarschuwing voor collega's

Geachte heer [censuur: naam collega],
Wat u aantreft op de site van de heer Kuipers, maar ook in de ingesloten E-mail is niet de volledige waarheid.

De Switchpoint betalingsmogelijkheid werkt met de Klipping techniek. Hierbij worden IP adressen gekoppeld aan telefoonnummers en bijbehorend KPN klantgegevens. De verificatie die benodigd is alvorens met Switchpoint Incasso kan worden betaald vindt plaats, door de ingevoerde gegevens te vergelijken met de gegevens in de KPN klantenbestanden voor het vaste telefoonnet. Deze verificatie werkt alleen indien vanuit de eigen woning gebruik wordt gemaakt van het internet en de betrokkene klant is bij KPN, voor het vaste telefoonnet of ADSL. In alle andere gevallen kan deze verificatie niet via klipping plaatsvinden.

De SwitchPoint Incasso betalingsmethode gekoppeld aan de klipping techniek is door o.a. TNO getest op privacy en veiligheidsaspecten en goedgekeurd.

Voordat er tot een eenmalige incasso wordt overgegaan wordt er op de site wel degelijk nogmaals gevraagd aan de klant of deze akkoord gaat met de eenmalige afschrijving van de betreffende rekening. Pas daarna wordt het transactienummer verstrekt.

In die situaties waar het wenselijk is om SwitchPoint niet te gebruiken kan eenvoudig door het uitzetten van de nummerweergave de werking van SwitchPoint Incasso worden geblokkeerd. Verificatie is hierdoor namelijk niet meer mogelijk en daarom kan de transactie niet worden verricht. Op een later moment zal SwitchPoint incasso een specifieke blokkering worden toegevoegd die door de klant instelbaar is.

In de ondenkbare situatie dat er toch misbruik is gemaakt van SwitchPoint Incasso, en deze fraude aantoonbaar is, wordt het geÔncasseerde bedrag natuurlijk alsnog teruggestort.

Met vriendelijke groet,
P van Leeuwen
KPN MMS

Mijn reactie op bovenstaande mail

Mijn antwoord naar beiden was:

To: p.a.j.n.vanleeuwen - at - kpn.com, [censuur: naam collega] - at - [bedrijf].com
Subject: RE: waarschuwing voor collega's

Geachte collega [censuur: naam collega], geachte heer Van Leeuwen,

Dank voor het cc-en van uw reactie waardoor ik mijn argumentatie kan onderbouwen.
Op mijn website bevestig ik inderdaad de relatieve veiligheid van de technologie, zoals deze ook door TNO ongetwijfeld bevestigd is.

Mijn betoog gaat over de wijze waarop KPN ongevraagd een dienst aanbiedt die potentieel veel ellende kan veroorzaken. En er bestaat dus zelfs nog geen opt-out, slechts alleen een work-around. Dit vind ik verontrustend en dat heb ik als zodanig geuit.
Ik heb sterk het vermoeden dat TNO naar de techniek klipping an sich gekeken heeft, en geen risico analyse uitgevoerd heeft omtrent veiligheidsaspecten bij interoperabiliteit met WLAN.
Met deze laatste techniek is een huis als zodanig niet meer de beperkte ruimte die zekerheid biedt voor identificatie op basis van telefoonnummer en ipadres.

Ik constateer dat WLAN veel gebruikt wordt in huiselijke omstandigheden waar de kennis over risico's niet voldoende aanwezig is. Doordat KPN ongevraagd en zonder persoonlijke kennisgeving de dienst in werking heeft gesteld, worden de klanten van KPN onbewust geconfronteerd met een aanzienlijk risico, waarvan ik vind dat zij deze via opt-in moeten accepteren, niet andersom.

Dat is mijn betoog, en ik heb uw antwoord zoals ik dit vanmorgen ontvangen heb ook integraal geplaatst op mijn website.


M.vr.gr.,
Tjalling Kuipers

Samenvatting

Kortom, KPN stelt dat indien controleerbaar fraude-slachtoffers gecompenseerd kunnen worden. Maar daar ligt dus de crux: de controle functie tegen fraude is niet afdoende: er wordt niet gevraagd naar identiteit, er wordt indirect geconcludeerd dat een gebruiker van een internetadres/telefoonaansluiting met kennis van het juiste telefoon- en bankrekeningnummer wel de eigenaar van de bankrekening moet zijn, terwijl de veronderstellingen waarop die conclusie gebaseerd is, zeker niet altijd waar hoeven te zijn.
3000 euro per transactie is teveel risico voor de gehele betrouwbaarheid/ controleerbaarheid van deze technologie.
Het is vervolgens helemaal onwerkelijk als de klant daarover niet geinformeerd wordt, en dat die dienst zonder zijn toestemming/opdracht op de aansluiting geactiveerd is.


Don Quichotte of bloedvete?

Gepubliceerd op 9 augustus 2004, 13:25 uur.

Voor de goede orde: ik heb inderdaad wel betere dingen te doen dan Don Quichotte uit te hangen, maar aangezien dit de enige manier lijkt waarop ik mijn eigen risico's kan afdekken heb ik meteen maar besloten om in een moeite door wat heisa te schoppen hierover, zodat anderen hier ook geÔnformeerd raken.
Als er een opt-out was geweest, had ik allang mijn aandacht ergens anders aan besteed.

Overigens heb ik daarnaast ook geen drijfveer of belang om het bedrijf KPN aan te pakken. Ik constateer alleen opnieuw (zie ook tikkentellerprobleem, april-juni 2001) dat KPN zo haar eigen wijze heeft om techniek in- of uit te faseren, en daarbij geen oog heeft voor de maatschappelijke gevolgen van deze acties, of ze bagatelliseert. Dit is bepaald niet klantvriendelijk te noemen, en niet meer van deze tijd.
Er bestaat een optimum tussen innovatie en consolidatie van technologie, en tussen een gebruikersvriendelijk en beheerdersvriendelijke wijze van introductie.


Update: opt-out wordt beschikbaar binnen 1 maand

Gepubliceerd op 9 augustus 2004, 16:40 uur.

Zojuist kreeg ik de onderstaande toezegging van KPN:

Reactie #3 van KPN

From: p.a.j.n.vanleeuwen - at - kpn.com
To: mail - at - tjallingkuipers.nl
Cc: j.h.pijnenburg - at - kpn.com
Subject: RE: waarschuwing voor collega's

Geachte heer Kuipers,

De Opt Out mogelijkheid wordt door KPN ingezet om het mogelijk te maken af te zien van de dienstverlening die wordt geboden door SwitchPoint Incasso. Binnen nu en een maand zal deze optie beschikbaar zijn.

Met vriendelijke groet,

P van Leeuwen
KPN MMS

Conclusie

KPN gaat voor 9 september 2004 de opt-out mogelijkheid beschikbaar maken. Nog afgezien van een maand lang risico lopen op 3000 euro schade per geval, houdt men kennelijk vast aan de opt-out ten nadele van opt-in.
Gezien het belang hoop ik dat een consumentenbond of andere media hier snel op in zullen springen.
Ik wacht - onder protest - dan maar af op verdere berichtgeving omtrent de opt-out. Liever zie ik een exit van deze technologie.


Update: publiciteit

Initieel gepubliceerd op 10 augustus 2004, 9:20 uur; wordt tussentijds bijgewerkt.

Ik heb intussen een aantal personen en instanties aangeschreven om hen te attenderen op hun maatschappelijke verantwoordelijkheid om dit probleem uit de wereld te helpen. Het is inderdaad vakantietijd, dus ik verwacht niet direct dat iedereen reageert, maar voor de transparantie houd ik hieronder bij wie gereageerd hebben.

Inhoudelijke reacties

De volgende partijen hebben inhoudelijk verder gereageerd of interesse getoond:

Ontvangstbevestiging

(Nog) geen reactie


Vragen over de SwitchPoint Incasso constructie

Gepubliceerd op 10 augustus 2004, 17:30 uur.

Ik heb geen zin om een conspiracy op te zetten, het gaat mij om de veiligheid voor consumenten, niet om gebrek aan ethiek in de business case van KPN. Maar er kunnen vragen gesteld worden over de rol van betrokken partijen. Om journalisten die dat wel graag willen doen de juiste richting op te helpen, de volgende overdenkingen:


Missie voltooid

Gepubliceerd op 11 augustus 2004, 15:20 uur. Later bijgewerkt.

Ik heb mijn doel bereikt: maatschappelijke en politieke aandacht voor wat ik zie als een onwenselijk gedrag van eem semi-monopolist; een structureel onwenselijk gedrag gezien eerdere maatschappelijke problemen.

De volgende media hebben aandacht besteed:

Ik heb deze actie ondernomen (op persoonlijke titel) puur vanuit verontwaardiging en het geloof dat medeconsumenten die ook moeten weten.

Ik ga mij weer richten op mijn afstuderen bij PinkRoccade; mochten er nog noemenswaardige reacties komen, dan plaats ik die hieronder.


Reacties

Cc'tje van mede-consument aan KPN

Gepubliceerd op 11 augustus 2004, 19:44 uur.

Geachte heer van Leeuwen,

Om eerlijk te zijn ben ik erg ontevreden met het feit dat KPN mij blootstelt aan risico's die mij 3000 euro kunnen kosten en vervolgens mij ook nog eens laten betalen (0900 nummer) om het op te lossen. Dat is natuurlijk een beetje de omgekeerde wereld.

Daarnaast begreep ik telefonisch van uw collega Mw Lander dat het enige dat ik hoefde te doen was u een mailtje sturen en dan zou het opgelost worden. Beetje onprofessioneel om mij dan naar het volgende kastje door te verwijzen.

Ik heb contact opgenomen met mijn bank om te vragen hoe het kan dat KPN op deze wijze geld afschrijft van mijn rekening. Ik begrijp dat KPN een overeenkomst heeft waarbij de blauwe ogen een grote rol spelen. Enkel bij problemen hoeft bewijsvoering van een transactie te worden overlegd. Ik vraag mij af hoe KPN met dit systeem ooit een sluitende bewijsvoering kan overleggen. Volgens mij kan iedereen met switchpoint bestellen wat hij/zij wil en vervolgens KPN dwingen het geld terug te storten omdat niet is aan te tonen dat de transactie daadwerkelijk door de rechthebbende is uitgevoerd.

Mijn bank adviseerde mij in elk geval nogmaals contact op te nemen met KPN en u te vragen om mij uit te leggen waarom u mij lastig valt met een dienst met zo'n slechte authenticatie vorm. Daarnaast begrijp ik dat ik bij de bank aan kan geven om specifieke rekeningen te laten blokkeren voor automatische afschrijvingen.

Kunt u mij voorzien van het rekeningnummer dat gebruikt wordt bij automatische afschrijvingen? Dan kan ik deze expliciet laten blokkeren.

Daarnaast ga ik er vanuit dat u aanvullend in uw systeem (zoals Mw Lander heeft beloofd) de blokkering van mijn telnr [censuur: telefoonnummer] regelt.

met vriendelijke groet,

Afzender: [censuur: voornaam] - at - [censuur: achternaam].com

Reactie: Kwalijker nog is, dat het telefoonnummer dat dhr Van Leeuwen standaard als reactie stuurt het foutieve 0900-0224 (1,30 Ä p.m.) blijkt te zijn.
Ik heb het via 0800-0403 voor elkaar gekregen (zakelijk abonnement).

XS4All over Planet Internet en rol als provider

Gepubliceerd op 12 augustus 2004, 11:16 uur.

XS4ALL en Planet zijn BEIDE dochters van KPN. XS4ALL heeft alleen een iets grotere mate van zelfstandigheid. Zo mogen ze ook producten (ADSL vooral) van andere leveranciers (BBNEd) verkopen. Die zelfstandigheid gebruiken ze ook okm bepaalde faciliteiten NIET aan te bieden.
Die geen binding van PI is wel een beetje flauw in dat opzicht.

Afzender: [censuur: gebruikersnaam] - at - ramdyne.xs4all.nl

Reactie: Bevestigd door een voormalig Planet medewerker, die nu bij KPN werkt (zie hieronder)

Planet is van KPN

Gepubliceerd op 12 augustus 2004, 14:51 uur.

Tjalling,

Planet Internet heeft wel degelijk binding met Switchpoint. PI is (samen met HetNet) al sinds j aar en dag onderdeel van KPN. XS4All is al weer enige tijd geleden ook opgeslokt, maar weet -zo heb ik de stellige indruk- op veel gebieden nog altijd haar eigen koers te varen. Ik veronderstel dat hun niet-deelnemen aan Switchpoint gewoon ingegeven is door het feit dat zij (terecht) een enorm punt maken van privacy bescherming op internet.

Afzender: [censuur: gebruikers] - at - kpn-is.nl

Reactie: inside info... bedankt!

E-mail van XS4All over het geheel

Gepubliceerd op 12 augustus 2004, 19:30 uur.

To: mail at = tjallingkuipers.nl
From: Simon Hania simon.hania - at - xs4all.net
Subject: Over XS4ALL, Switchpoint en Klipping

Tjalling,


In reactie op wat teksten op je site over de relatie tussen XS4ALL, Switchpoint en Klipping even het volgende.
Zowel Switchpoint Incasso als Klipping werken beslist niet voor ADSL- en inbel-verbindingen via XS4ALL. Klipping is eind november vorig jaar expliciet uitgezet voor XS4ALL. Als je in de archieven van Webwereld duikt en op usenet/via Google in xs4all.general zoekt, kun je dat nog nalezen. Klipping is in zijn huidige vorm namelijk in strijd met de clausule die XS4ALL en KPN in 2000 al contractueel overeen gekomen zijn voor de levering van ADSL. Je vind de clausule op: http://www.xs4all.nl/adsl/clausule.php . De clausule is een rechtstreeks gevolg van het privacy beleid van XS4ALL, dat in essentie neerkomt op "baas over eigen gegevens".
Switchpoint bouwt voort op Klipping en doet het daardoor simpelweg niet. Dat betekent dus dat alle gesignaleerde issues en risico's voor XS4ALL abonnees _niet_ van toepassing zijn. Doordat Klipping niet werkt, werkt overigens bijvoorbeeld ook het Breedbandportal van KPN niet voor XS4ALL klanten.
XS4ALL heeft KPN gevraagd om een opt-in systeem voor Klipping, waarbij een gebruiker zich expliciet moet aanmelden en ook weer kan afmelden. Dat gaat er komen, wanneer is nog niet bekend.


Btw: ik werk bij XS4ALL en zit hier persoonlijk bovenop.

Via Chello ook in gevaar?

Gepubliceerd op 12 augustus 2004, 19:40 uur.

Is dit niet alleen het geval voor analoge/ISDN inbellers en via KPN aangesloten ADSL verbindingen? KPN kan toch niet mijn NAW gegevens achterhalen aan de hand van mijn Chello IP adres?
Met vriendelijke groet,

Afzender: [censuur: gebruikersnaam] - at - cs.vu.nl

Reactie: Gezien het marktaandeel van >50% (?) van KPN op zowel ISDN/PSTN als internet connecties heb ik nuances omtrent mijn standpunt achterwege gelaten om niet mijn argumenten te verzwakken.
wellicht heb je echter een punt.
controleer dit maar even op de demo van klipping.nl: telnr waar de rekening op staat invullen en je weet t....
Feit blijft dat de risico's aanzienlijk en reeel zijn, en de KPN zelfs na deze heisa volhoudt dat het haar verantwoordelijkheid niet is wat er binnenshuis bij consumenten gebeurt.
Dat is dus exact mijn argument: dat is het wel als ze klanten ongevraagd een dienst aanbieden.

Kabel?

Gepubliceerd op 12 augustus 2004, 19:51 uur.

Hallo Tjalling,
Perfecte actie rond Switchpoint Incasso. Ik wist er niets van, gelukkig heb ik me nu afgemeld. 1 opmerking over je website. Je zegt dat KPN het heeft geactiveerd voor alle ADSL en kabel verbindingen. Op de site van Klipping (http://www.klipping.nl/demo/democheck.php ) staat echter dat Klipping niet beschikbaar is voor kabelaansluitingen.

Dat lijkt me ook sterk, want dan zouden de kabelbedrijven de koppeling tussen IP adres en telefoonnummer aan KPN door moeten geven.

Met vriendelijke groeten,

Afzender: [censuur: voornaam] - at - [censuur: achternaam].org

Reactie: Dank, ben tevreden dat jij en vele anderen dit ook te weten zijn gekomen. Je opmerking over kabelinternet is terecht: via die aansluiting zelf kan het niet. Deze info had ik in eerste berichten gezet, en pas later opgemerkt dat het niet klopte. Bij dezen excuus daarvoor. Overigens: kabelinternetters die nog gewoon KPN vaste telefoon gebruiken voor voice, zijn net zo kwetsbaar: internet via inbellen kan immers nog steeds (als men een modem heeft),
waardoor SwitchPoint Incasso via die dial-in verbinding nog gewoon werkt. Maar dat komt uiteraard niet door de kabelinternetverbinding.

Mikschuiven...

Gepubliceerd op 12 augustus 2004, 16:21 uur.

Misschien wel de grappigste publicatie zover: jereinsteonzin.nl. LOL

Toekomstperspectief

Gepubliceerd op 12 augustus 2004, 17:32 uur.

Een baan bij KPN kun je nu wel vergeten denk ik!

Afzender: [censuur: voornaam] - at - [censuur: achternaam].nl

Reactie: Zou het?

Radio 1 interview

Gepubliceerd op 12 augustus 2004, 15:35 uur.

KRO 1opdemiddag interviewde zojuist (12/8, 15:18) een KPN woordvoerster. De presentatrice was erg goed bezig, en ik denk dat naar aanleiding van het zwakke verweer (inclusief wat gejokkebrok, maar ja ik zou ook niet graag in de schoenen van woordvoerster Maaike Scholten staan om dit slechte product te moeten verdedigen) wel meer publiciteit zal komen. Minpuntje is wel dat de presentatrice niet vroeg waarom het standaard aanstond (opt-in). Ook jammer dat de SP niet bij het gesprek betrokken was, dat was een slachtpartij geworden :-)

De woordvoerdster noemde dat een emailtje naar info@switchpoint.nl voldoende is om je af te melden. Mail massaal svp!

Het interview staat op de site van 1-op-de-middag van de KRO: het is een Real Audio bestand van de volle drie uur: doorspoelen naar exact 1:10:00 (je krijgt eerst een Rplayer-foutmelding, maar druk op ok en dan op play)

Koppie-pasta mailtje

Gepubliceerd op 12 augustus 2004, 15:58 uur.

Je kunt onderstaand mailtje kopieren voor het afzeggen...

LS,

zojuist hoorde ik van uw woordvoerster op radio 1 dat ik via dit emailadres het risico op switchpoint kan afsluiten. Wilt u svp voor KPN tel.nr [UW TELEFOONNUMMER] en ALLE andere bijbehorende telefoonnummers ALLE diensten van SwitchPoint blokkeren? Dus zowel Incasso als Dialers en dergelijke.

Op welke termijn is dit geregeld? Graag ontvang ik een schriftelijke bevestiging net zoals u deze verzendt bij bevestiging nummerweergave blokkering.

Bij voorbaat dank,
[UW NAAM]

Zo kan het ook...

Gepubliceerd op 12 augustus 2004, 16:59 uur.

From: [censuur: afzender]
To: info@switchpoint.nl
Cc: p.a.j.n.vanleeuwen@kpn.com
Subject: Afmelding Switchpoint


L.S.,


met grote zorg heb ik begrepen dat bij mijn telefoonaansluiting ongevraagd een extra dienst is toegevoegd, waardoor ik opeens risico loop flink geld kwijt te raken: Switchpoint. Dit is niet eens aangekondigd per brief, maar stiekem ingevoerd.

Ik ben hier totaal niet van gediend, en wil dan ook dat dit terstond uitgeschakeld wordt. Ik wil hierbij dan ook aangeven geen enkele verantwoording te nemen voor welke rekening dan ook, en zal elke betaling die door Switchpoint wordt veroorzaakt terstond terug laten draaien. Ook wil ik graag weten via welk rekeningnummer deze betalingen zullen gaan, zodat ik een complete blokkade kan opstellen.

Ik verzoek u ook om dit soort grapjes in de toekomst achterwege te laten. Ongevraagd iemand financieel risico laten lopen is een schandalige actie, zeker als dat onder het mom van "service" gebeurt.

Dus per direct en met terugwerkende kracht uitschakelen dat Switchpoint!


Met zeer geirriteerde groet,

[Censuur: naam afzender]

Reactie: mensen die mij willen om welke reden dan ook willen (b)cc-en, zoals bij de bovenstaande mail aan KPN, mogen dat uiteraard doen... gebruik daarvoor svp switchpoint - at - tjallingkuipers.nl


Reactie op de FAQ's van KPN

Gepubliceerd op 12 augustus 2004, 19:53 uur.

KPN heeft een aantal FAQ's (veel gestelde vragen) gepubliceerd (op 12/8). Hieronder mijn reactie.

1. Afmelding (opt-out) kan per email [zie link]
Dat is fijn. Wanneer gaat die afmelding in? Waarom nog steeds geen opt-in (aanmelden voor gebruik)?
2. SwitchPoint Incasso gaat niet via de telefoonrekening [link]
Maar het gaat wel parallel daaraan via dezelfde bankrekening.
3. A) In gegeven omstandigheden kunnen derden inderdaad betalen via uw pc. Ten eerste dienen zij fysiek vanuit uw huis de bestelling te plaatsen.
Kom maar eens langs, dan laat ik wel zien dat ik dat met wireless LAN ook fysiek buitenshuis kan.
3. B) Verder dient men over uw wachtwoord van uw pc te beschikken, uw vaste telefoonnummer en met welk bank- of gironummer de telefoonrekening wordt betaald.
Wachtwoord, opeens gebruikt iedereen thuis Linux? Telefoonnummer: www.ikhebje.nl en mijn bankrekeningnummer ligt echt niet in de kluis.
3. C) Dit is vergelijkbaar met het verschaffen van toegang aan derden waarbij acceptgiro's, creditcards en contant geld worden vervreemd.
En KPN helpt graag die toegang te verschaffen...
3. D) Daarbij kent SwitchPoint Incasso een extra zekerheid voor de eindgebruiker, omdat wij exact kunnen nagaan vanuit welk huis de transactie is gedaan en op welk tijdstip.
Da's mooi, maar dan weten we nog steeds niet of de computer-eindgebruiker de eindgebruiker is die de rekening mag betalen.
3. E) Tevens staat hierop een telefoonnummer vermeld, dat u kunt bellen voor vragen. Tevens krijgt u duidelijk op uw bankafschrift te zien, waar en wanneer de transactie is gedaan.
Maar niet door mij uiteraard. Hoe bewijs ik dat? U heeft niet bijgehouden wie er achter mijn internetverbinding zit, en ik al helemaal niet. Als ik dat vanaf nu op papier bijhoud, gelooft u mij dan als er iets fout gaat?
4. Vraag aan KPN: Wat als iemand anders met mijn WIFI verbinding het Internet opgaat? Antwoord KPN: Om meerdere redenen (waaronder fraude, illegale content bezichtiging en andere criminele activiteiten) is het belangrijk om altijd uw WIFI verbinding te beveiligen met een username en een password. De huidige WIFI hardware heeft deze beveiliging al in zich. Echter, bij oudere WIFI hardware, dient u dit zelf duidelijk in te stellen. Uw voordeur staat dan gewoon open, en is daarmee vatbaar voor allerlei slechte doeleinden. Iemand kan zich op het internet dan voordoen alsof hij iemand anders is, en hiermee vele frauduleuze acties uitvoeren.
KPN is het met ons eens dat binnenshuis niet aangetoond kan worden wie de transactie doet: "U moet uw huisgenoten maar vertrouwen". Zij zetten dus eerst binnenshuis uw bankrekening open, en vervolgens nemen ze het u kwalijk dat u "de voordeur open zet". KPN suggereert dat een wachtwoord/username voor Wifi voldoende veiligheid biedt. Behalve dat ik hen op hun terrein (telecom) de les moet lezen omtrent de controleerbaarheid, zijn zij opeens experts op mijn gebied. Prima, leest u vooral dit artikel nog eens goed, mevrouw Scholten. Zelfs met alle nieuwste beveiliging aan is de "voordeur" binnen aanzienlijke tijd te kraken.
5. SwitchPoint Incasso werkt alleen bij consumenten die een vaste (consumenten) telefoonaansluiting van KPN hebben.
Toevallig heb ik een vaste zakelijke ISDN telefoonaansluiting, waarop de demo gewoon werkte. KPN, ik geloof u niet.
6. KPN biedt geen krediet voor online transacties, maar maakt het mogelijk om vanuit de eigen woning met de eigen computer betalingen te verrichten. Hiervoor dient u natuurlijk wel zelf over genoeg tegoed te beschikken op uw rekening. Een voorwaarde is dat u toestemming geeft aan KPN om een ťťnmalige incasso te doen vanaf uw bank- of girorekening.
Gelukkig geen krediet, dus als je maar 1500 euro op je bankrekening hebt staan kun je maar maximaal 1500 kwijtraken. De dienst was toch zo gemakkelijk dat ik totaal niets hoefde te doen om de incasso te laten plaatsvinden? Wanneer geef ik dan toestemming? Iets anders, als ik mijn collegegeld via incasso betaal, wordt dat gewoon afgeschreven hoor, ook al staat er te weinig op mijn rekening (zoals wel vaker bij studenten).

Mensen, mensen, mensen... zucht


Ja ik ben er af!

Gepubliceerd op 12 augustus 2004, 19:58 uur.

... zegt SwitchPoint:

From: Switchpoint (info@switchpoint.nl)
Subject: RE: afzeggen switchpoint
Date: Thu, 12 Aug 2004 19:48:12
To: Tjalling Kuipers


Geachte heer/mevrouw,

Hierbij de bevestiging dat u vanaf vandaag, 12 augustus 2004, bent afgemeld en dus geen gebruik meer kunt maken van de SwitchPoint Incasso dienstverlening.

Met vriendelijke groet,
SwitchPoint

Reactie: Goh, men noemt het nog steeds dienstverlening... maar ok: wie ook zo'n mailtje krijgt moet vooral die vliegticketshop even uitproberen met SwitchPoint. Als het goed is werkt Incasso dus niet meer (zeggen ze toch?), dus als er toch afgeschreven wordt dan wens ik je een fijne vakantie. Bij terugkomst dus wel even je advokaat het mailtje forwarden icm met je bankrekening afschrift waarop de tijd staat vermeld (zegt men). Ik houd mijzelf niet aansprakelijk voor schade veroorzaakt aan u OF DERDEN door deze tip :-).


En TNO dan??

Gepubliceerd op 12 augustus 2004, 23:03 uur.

Simon V. te E. vertelde mij via MSN (12/8, 22:54):

trouwens, ik vind dat ook de nodige aandacht aan tno besteed mag worden
dat zij zoiets goedkeuren
dan mag tno ook wel een de nodige kritiek krijgen!

...

ik bedoel: dan mogen de procedures bij tno ook wel eens onder de loep genomen worden


Reactie: tsja wat wil je... zij zijn aandeelhouders van de technologie...


KPN: the sequel?

Gepubliceerd op 12 augustus 2004, 20:25 uur.

Maarten Hartsuijker wilde graag het volgende laten opnemen in mijn website:

From: "Maarten Hartsuijker"
To: "Tjalling Kuipers"
Subject: goed goed, of niet!


He Tjalling,


D'r komt langzaam heel wat los, of niet? Heel goed!. Van slechte authenticatievoorzieningen hebben we er al genoeg. Had KPN maandag aan de telefoon al aangeraden de communicatieafdeling in te schakelen voor een goed verhaal. Maar ja, als je misbruik zo makkelijk maakt, dan is er niet echt een goede reactie te geven. Zeker niet als je er geen opt-in dienst met goede risico beschrijving van hebt gemaakt.

Volgende issue lijkt me: waarom staan banken automatische incasso toe op basis van een "niet fysiek of middels een certificaat gesigneerde opdracht".

Mijn bank zegt over automatische incasso's het volgende:

"Wij begrijpen uw reactie en onrust omtrent de mogelijkheid dat KPN zonder uw toestemming geld van uw rekening kan afschrijven. KPN heeft een overeenkomst met ons dat zij incasso's van onze cliŽnten mogen innen, mits zij toestemming hebben. Onder toestemming verstaan wij een overeenkomst tussen KPN en u waarin staat dat u akkoord gaat met de incasso. Dit kan een schriftelijk akkoord zijn, maar ook een akkoord via internet."

Ik begrijp hieruit dat iedereen met een incasso overeenkomst zonder bewijs opdracht kan geven geld te incasseren van rekeningen. Dit is al lange tijd zo, maar heeft naar aanleiding van bijv. de switchpoint praktijken wel een herziening nodig. Waarom geen PKI? Overheid wil het. Banken willen het. En het is overduidelijk dat een dergelijke authenticatievorm noodzakelijk is om bovenstaande misstanden te voorkomen. Een-tweetje tussen overheid en bedrijfsleven zou hier de kosten acceptabel kunnen maken (en kunnen voorkomen dat iedereen straks met 20 pasjes met certificaten loopt).

Heb net nog het volgende bij webwereld als reactie gegeven:

grt, maarten


Heeft iemand op http://www.klipping.nl/juridisch/privacy.php het stuk over privacy bij het weblife product gelezen? Wat KPN doet is aan de hand van nummerherkenning over ADSL (of inbel), regiogegevens van hun klanten verkopen aan bedrijven. Bedrijven kunnen op hun website dus een weblife-component plaatsen dat voor het bedrijf de postcode van de bezoeker achterhaald. Deze gegevens kan het bedrijf vervolgens matchen met mailings en telespam, om zich daarna nog agresiever en directer te kunnen richten op regios.

Mijn abonnee gegevens worden dus gebruikt om bedrijven in staat te stellen mij nog meer lastig te vallen met direct marketing.
Ze onderbouwen het feit dat deze dienst geen inbreuk is op de privacy wetgeving met het volgende:

KPN: "Privacy bij WebLifeģ : one way encrypting - Alle telefoonnummers die ter beschikking komen van Klipping worden direct eenzijdig versleuteld...."

Er lezen vast wel wat beveiligingscollega's mee met deze pagina. Die zijn het dan ongetwijfeld met mij eens dat "eenzijdige versleuteling" van een beperkte dataset niet bestaat. Er zijn slechts 10 miljard telefoonnummers, 1 miljard als je de 0 weglaat. Als KPN deze eenmalig gehashed (of in KPN taal: eenzijdig versleuteld) opslaat in een tabel, kunnen ze in een fractie van een seconde de zogenaamd niet te herleiden identificatiecode omzetten in een telefoonnummer. Dit nummer is uiteraard te matchen met een abonnee en dus een individue.

Nu ben ik geen deskundige op het gebied van privacy wetgeving, maar de onderbouwing dat opgeslagen gevens wegens eenzijde versleuteling niet meer zijn te herleiden, is onjuist. Hierdoor blijft er op de privacy pagina geen onderbouwing over van de redenen waarom KPN denkt te voldoen aan de privacy wetgeving.

Naast een opt-in op switchpoint, zou ik dus willen pleiten voor een opt-in op de complete klipping technologie. Daarnaast is het verstandig om nummerherkenning uit te zetten en te hopen dat KPN niet de lijnidentificatie technieken die meldkamers gebruiken gaat toevoegen aan klipping zodat niemand meer iets tegen de gedwongen identity-tracking kan doen.


Lekker veel hits

Gepubliceerd op 12 augustus 2004, 23:11 uur.

Wow, nedstat maakt overuren zie ik (update 13/8, 17:02: zelfs de Nedstat top 10 sterkste stijgers :-)), net als degene die nu handmatig alle emails zit te verwerken en telefoonnummers zit over te typen bij de KPN :-).. Ik hoop wel dat deze technicus de productmanager van SwitchPoint Incasso een zure tijd bezorgt..

Anyway, ik kreeg een paar suggesties om er zelf een slaatje uit te slaan dmv ads, maar voor jullie info: ik wil geen snelle kleine winst door mijn reputatie te grabbel te gooien. k Ben de KPN niet... Een lintje van Hare Majesteit zou ik niet weigeren (:)), maar voor de rest ben ik puur bezig ter bescherming van mijzelf en jullie tegen KPN. Dat laat ik niet compromitteren door hen kanonvoer te geven dat ik andere motieven heb..


Post Scriptum:

Drop me a line als je een gezonde mening hebt hierover.

Verzoek #1: wil iemand de interviews op radio 1 en 2 voor mij uittypen? Dit zal desgewenst een goede link naar je site (of gewoon een bedankje ten name van jou) opleveren. Graag inclusief stotteren :-)

Verzoek #2: mail mij svp alle links die je tegen komt over dit onderwerp, maar nog niet op deze site bent tegengekomen.

Verzoek #3: tweakers.net: jullie hebben minstens 10 posting met een link naar mijn site, maar ik kan ze niet bekijken: help?