KPN moet stoppen met ongevraagde risicovolle dienst SwitchPoint Incasso!

    

Site wordt bijgewerkt: kom morgen (12/9) terug voor nieuwe release.


"Businesses are not going to expend money fixing any problem, no matter how severly it affects me as a customer, until it starts to affect their profitability. I wouldn't expect them to; they are a construct created with the express purpose of optimizing profitability. My goal as a security- conscious consumer is to -make- it the corporation's best interest to fix any problems that would have a detrimental effect on me as quickly as possible."

anonymous ISP customer, January 2002

Sorry, the following is Dutch text only


Update: Minister vindt KPN veilig genoeg, 1 dag later is KPN gehackt

Gepubliceerd: 8 september 2004, 9:51 uur

Gisteren heeft minister Brinkhorst gezegd dat hij KPN niet zal dwingen tot een "nee, tenzij ik toestemming geef" aanmeld procedure (opt-in) voor de dienst SwitchPoint Incasso.
Bron: Ministerie van Economische Zaken

KPN, gesteund door DNB, TNO en dus nu ook de minister zeggen dat het veilig genoeg is om 3000 euro per keer te kunnen betalen via deze dienst. De dienst staat ook al standaard aan bij 6,1 miljoen mensen, en er is op geen enkel moment een handtekening nodig als toestemming om de incasso te laten plaatsvinden.

Consumentenbond, Socialistische Partij, en vele bezoekers van deze site zijn het met mij eens dat dit te onveilig is om standaard aan te zetten. Zeker als er geen toestemming door klanten gegeven is hiervoor. Lees hierover meer hieronder, en lees ook zeker het antwoord van cryptograaf dr. ir. Rick van Rein over hoe de dienst te kraken is.

Vandaag heeft de onveiligheid van de dienst zich al bewezen, 1 dag na de uitspraak van de minister: de site waarop alle telefoonnummers beheerd worden voor afmelding is gehackt.
Bron: Webwereld: "Site SwitchPoint gehackt"

KPN, hoelang nog opt-out voor mensen die het niet kennen? U kunt niet eens uw eigen site beveiligen, waarom verwacht u dit dan wel van uw consumenten? Opt-in, nu!
Bron: KPN via dochter Planet.nl: "Niet verantwoordelijk voor gezinsgebruik"

Het is nu wachten op het eerste slachtoffer. Wil diegene zich melden bij Consumentenbond voor hulp, met een klacht aan de Ombudsman (die niets preventiefs wilde doen) en mij? 't Nieuwe media offensief staat ervoor in de startblokken.

In de tussentijd zou je (ongeacht je politieke voorkeur) je steun kunnen betuigen bij Arda Gerkens van de SP: zij heeft haar best gedaan, maar de minister wees het bezwaar af. Mogelijk bespoedigt dat de opt-in.
Link: Forum Arda Gerkens op sp.nl

Verdere links naar de hack-actie

De veiligheid van SwitchPoint Incasso

Voor informatie over veiligheid van draadloze netwerken:


Afmelden?

De weg is nu door media en politiek voor u gebaand om u af te melden. Maar u heeft meer opties om te handelen. Lees eerst de checklist hieronder en kijk dan wat u kunt doen.

Alternatieven voor KPN vaste lijn

Als alternatief voor KPN vaste lijn kunt u ook uw kabeltv maatschappij vragen om kabelinternet aan te sluiten en op basis daarvan via Internet-telefonie (zoals Pilmo) gaan bellen. Is nog goedkoper ook, op den duur. Lokaal tarief door heel Nederland en gratis naar andere Pilmo klanten. De kwaliteit is prima, en mag uw telefoonnummer behouden. En als belangrijkste voordeel: u bent ontsnapt aan een organisatie die voor privacy en veiligheid andere definities hanteert dan de gemiddelde klant van hen. Zo "slijten" er maar twee van de drie draadjes naar uw huis ;-) (electriciteit, telefonie, kabeltv, mis ik iets?).


U bent KPN-abonnee vaste telefonie? U loopt gevaar!

6,1 miljoen mensen hebben thuis een vaste telefoonaansluiting van de KPN. Allemaal lopen zij een reŽel risico slachtoffer te worden van fraude tot 3.000 euro per keer. Zonder dat zij daarover geinformeerd zijn door of toestemming hebben gegeven aan de KPN.

NB: SwitchPoint Incassso is iets anders dan de SwitchPoint Dialer die u wellicht kent. Voor deze variant is geen software nodig behalve een browser als Mozilla, Konqueror of Internet Explorer.

Als u KPN-klant bent accepteert u dat dan? Ik niet. U ook niet?
Lees het volgende en onderneem actie!


Wat betekent dit voor u?

Controleert u s.v.p. voor uzelf of uw situatie aanleiding geeft tot verdere actie.

Checklist sociale risico's

Met sociale risico's bedoel ik dat iemand in uw sociale omgeving, die u min of meer vertrouwt, toch in staat is zonder uw toestemming een betaling te doen vanaf uw rekening. Gaat u svp na, hoe groot dit risico voor u is:

  1. Heeft u thuis een vaste telefoon aansluiting met een KPN abonnement? (Ongeacht of u verder via Tele2 of andere aanbieders belt)
  2. Heeft u een computer in huis, waarmee u wel eens internet gebruikt via ADSL of inbellen?
  3. Hebben, behalve uzelf, ook andere personen toegang tot uw huis? (Gezinsleden, huisgenoten, buren, etc.)
  4. Zijn er meer mensen, dan alleen uzelf, die uw bankrekeningnummer kennen? (Waar bewaart u uw bankrekeningafschriften, bankpasjes? Wie heeft uw bankrekeningnummer wel eens onder ogen gehad?)
  5. Zijn er meer mensen, dan alleen uzelf, die uw telefoonnummer kennen? (Wordt u wel eens gebeld?)
  6. Acht u de mensen die bij u thuis komen of wonen, qua kennis in staat om de internet verbinding op uw computer tot stand te brengen, zonder uw hulp?

Als u alle vragen met "ja" beantwoord hebt, heeft u ťťn van de risico's geidentificeerd: u loopt het risico dat iemand binnenshuis een betaling kan doen via KPN SwitchPoint Incasso, zonder dat u hiervan op de hoogte hoeft te zijn.

Dat betekent niet dat dit hoeft te gebeuren, maar het probleem is dat ALS u een afschrijving krijgt waarvan u weet dat u hiervoor geen opdracht heeft gegeven, dat u niet kunt bewijzen aan de KPN dat u het niet was. Dit bedrag kan oplopen tot 3.000 euro per keer.

Maar dat niet alleen, er bestaan meerdere mogelijkheden om slachtoffer te worden van deze constructie.

Technische risico's

Bepaalt u hieronder in hoeverre u maatregelen genomen hebt om uzelf tegen technische risico's te beschermen die ook kunnen leiden tot misbruik:

  1. Heeft u een wachtwoord op uw pc, dat ingevuld moet worden voordat deze werkt?
  2. Moet u iedere keer voordat u het internet op gaat een wachtwoord intoetsen?
  3. Heeft u de meest recente virusscanner op uw computer?
  4. Heeft u een firewall die voldoende veilig is afgesteld?
  5. Controleert u iedere week uw computer op de aanwezigheid van spyware? (Dit zijn programmatjes die uw computergebruik afluisteren en doorsturen naar hun makers)
  6. Stel: U maakt gebruik van wireless LAN (dit heet ook wel draadloos netwerk, WiFi), en u heeft ervoor gezorgd dat dit zo veilig mogelijk is afgesteld. Heeft u er ook voor gezorgd dat draadloze netwerkgebruikers niet het internet op kunnen of andere pc's in uw netwerk kunnen benaderen?

Hoe meer vragen u met "ja" beantwoord heeft, des te beter heeft u zichzelf beschermd tegen misbruik.

Meer informatie over de betrekkelijke veiligheid van Wireless LAN (WiFi) kunt u in mijn correspondentie naar KPN lezen. Daar staat ook een externe link. Kort samen gevat: met alle beveiliging aan, kan een WiFi Access Point nog steeds binnen aanzienlijke tijd toegankelijk gemaakt worden door onbevoegden. Om de analogie van de KPN te gebruiken: u kunt weliswaar de voordeur op slot doen, maar als deze slechts van glas is dat ook nog geen geluid maakt als het gebroken wordt, dan is hun argumentatie dat gebruik hiervan uw eigen risico is, helemaal opmerkelijk.

Mocht u willen weten of mensen in de praktijk uw WiFi punt echt kunnen "afluisteren" (dit mag wettelijk gezien en is een onschuldige hobby, zolang deze mensen niet proberen wachtwoorden te raden e.d.), lees dan dit verslag. Voor beveiligingsadvies kunt u terecht bij diverse IT-bedrijven.

Wat u zich dient af te vragen

Op dit moment weet u of u risico loopt en hoe groot dat risico is. Stelt u zichzelf nu de volgende vragen:

  1. Vindt u het wenselijk dat u eenvoudig via uw bankrekening kan betalen?
  2. Vindt u het wenselijk dat voor u de keuze is gemaakt dat deze eenvoudige manier beschikbaar is? Of maakt u liever deze keuze zelf, waarna u opdracht hiertoe geeft.
  3. Weegt voor uzelf de risico's van deze betaalmethode af tegenover het gebruik ervan, en de andere opties die u heeft. Wat is de uitkomst van de afweging?
  4. Denkt u in de toekomst gebruik te gaan maken van internet betalingen via KPN SwitchPoint Incasso?

Wat moet u doen?

Ten eerste: niets moet, dus overweg wat u wilt doen. U heeft de volgende mogelijkheden.

Tot slot: u informeert uw vrienden, collega's, familie en kennissen om hen te wijzen op mogelijke risico's die ůůk zij lopen.


Overtuig uzelf

U bent consument, u bent mondig en u bent kritisch. En dus wilt u weten of ik geen onzin verkoop. Daarom leest u verder de informatie die ik verzameld hebt:



Update: KPN komt enigszins tegemoet

Gepubliceerd op 1 september 2004, 22:50

KPN heeft volgens een ANP-persbericht en de SP toegezegd om in ieder geval haar klanten te informeren over SwitchPoint Incasso. Dit is een eerste stap in de goede richting.

Vooralsnog blijft het vrijwillig aanmelden (ipv afmelden) onmogelijk, maar de ogen zijn nu gericht op minister Brinkhorst om te horen of het wettelijk toegestaan is wat er gebeurt.


SwitchPoint? Ken ik dat?

Toevoeging n.a.v. vragen: de naam SwitchPoint kunt u wellicht kennen via o.a. 0900-betaaldiensten en zogenoemde dialers: betalingsmethoden waarbij u inbelt op een 0900-nummer met een speciaal (hoog) tarief, waarbij u gedurende de tijd dat u verbonden bent met dat nummer toegang hebt tot informatie op een specifieke website. Het middel schijnt aanzienlijk populair te zijn bij aanbieders van game- en pornografische-sites, en is bij kritische internetters ook berucht door de geniepige manier waarop sommige malafide aanbieders (dus niet direct KPN zelf) trachten de dienst in werking te zetten op sommige websites: de pop-ups (schermen die op de voorgrond springen en aandacht vragen) kunnen soms overweldigend zijn en per ongeluk aanklikken kan leiden tot het onbedoeld opbellen van een 0900-nummer.

SwitchPoint Incasso is een van de producten in de productfamilie SwitchPoint van KPN. Mij gaat het specifiek om de nieuwe (sinds 26/7/2004) variant SwitchPoint Incasso, hoewel de risico's van een aantal van de andere diensten, zoals de dialers en 0900-nummers, in het verleden ook wel bediscussieerd zijn).


Hoe meld ik mij af?

Als u - nadat u zich geinformeerd hebt - zich wilt afsluiten voor deze dienst, stuur dan een mailtje naar info@switchpoint.nl, met de volgende gegevens:

Nota bene: KPN stelt op haar site dat ook uw bankrekening nummer meegestuurd moet worden. Doet u dit niet! De praktijk is dat dit niet nodig is en alleen maar risico's met zich meebrengt die we juist proberen te voorkomen.

U kunt uw eigen tekst schrijven, maar u kunt ook een standaardmailtje kopieren.

Update 3/9/2004: KPN vroeg mij u te melden dat het nu gemakkelijker kan via haar site. Dit kan alleen vanuit uw eigen huis.


Waarom deze site?

Op 6 augustus kwam ik erachter dat KPN de dienst SwitchPoint Incasso aangezet had voor alle vastnet-telefonie abonnees, zonder hen te informeren of om toestemming te vragen. Ik schrok hiervan, omdat ik als student Bedrijfsinformatietechnologie aan de UT, goed op de hoogte ben van de technologie en niet overtuigd was van de veiligheid.

Direct daarop heb ik onderzocht of de veiligheid die TNO controleerde, echt wel zo voldoende is als men claimt. Het bleek al snel dat TNO mede-aandeelhouder in de technologie is, maar dat terzijde. [Update 17/8, 11:15 : TNO mailde mij geen aandeelhouder meer te zijn sinds december 2003. Ik heb hen gevraagd om mij te wijzen op publieke informatie waaruit dat blijkt. Vooalsnog deze info onder voorbehoud.]

KPN heeft een aantal mailtjes van mij en collega's beantwoord, maar deze bevestigden mijn vermoedens.

Ik vond het daarom nodig om een waarschuwing te sturen aan vrienden en bekenden. Vervolgens heb ik geprobeerd uit te zoeken hoe ik de dienst kon afzeggen. Dit kon echter toen niet.

Door alle tegenwerking van KPN, heb ik vervolgens besloten om de politiek en media in te lichten om aandacht te vragen voor deze ontwikkeling die veel mensen niet eens kennen.

De Socialistische Partij was kennelijk zo'n beetje de enige partij die niet op vakantie is (ik bedoel dit niet negatief ten opzichte van de andere partijen: er is nu reces in Den Haag), en deze hebben hun verantwoordelijkheid genomen door Kamervragen te stellen aan minister Brinkhorst.

Uiteindelijk heeft de KPN onder druk van de media het mogelijk gemaakt om per email de dienst te laten afzeggen, maar dit vind ik niet voldoende (net als de SP). Iedereen moet, gezien de risico's, zelf eerst toestemming geven, vind ik.

Daarom, en omdat dergelijke situaties al eerder voor zijn gekomen, wil ik ook aandacht voor de oorzaken dat dit kan gebeuren.



WAARSCHUWING AAN DE KPN

Gepubliceerd op 13 augustus 2004, 15:35 uur

KPN, sinds gisteren zijn er op deze site circa 6.000 bezoekers geweest en geinformeerd geraakt over de zwakheden bij praktische toepassingen van SwitchPoint Incasso.
Wilt u raden welk aantal van deze mensen in staat geacht mag worden om de risico's op misbruik van SwitchPoint Incasso (waarover ik waarschuw), realiteit te laten worden? Ieder antwoord boven het aantal nul, zal ik for-arguments-sake accepteren.
Om ťťn moment even uw geloof in de goedheid van de mensheid over te nemen: mijn lezers (hoewel ik ze niet persoonlijk ken), zouden natuurlijk nooit dergelijke fraude plegen, dus dit is uiteraard hypothetisch gezien...

KPN, ik houd u verantwoordelijk voor alle klachten en financiŽle schade door ongewenste betalingen door middel van SwitchPoint Incasso die komende maanden geclaimd zullen worden, voor iedere seconde dat u blijft weigeren om alle telefoonaansluitingen van uw vaste net naar opt-in om te zetten.
Inderdaad: al uw klanten vastnet afsluiten van SwitchPoint Incasso en (zo u wilt) uitnodigen om dit opnieuw aan te vragen.

Sinds de publiciteit hierover is de kans aanzienlijk toegenomen dat kwaadwillenden aan de slag gaan om nietsvermoedende mede-consumenten te duperen.
Kennis is macht, zeker vandaag de dag. Door uw houding is ook het omgekeerde praktijk geworden: gebrek aan kennis maakt kwetsbaar.

Ik zie iedere paar minuten wel een entry in mijn nedstat voorbij komen met "KPN, Nederland", dus ik weet dat u dit leest. Onderneem actie voordat u verder onderhanden genomen wordt in de politiek, media en op websites als de mijne. De gevolgen daarvan zullen u niet bevallen, net zo min als het ons als consumenten (ik vermoed dat ik zeker namens 90% of meer van de 6000 bezoekers van de afgelopen 24 uur spreek) niet bevalt dat u met ons doet wat u goeddunkt. Graag uw reactie.

Was getekend,

Tjalling Kuipers

Opmerking aan de lezer: Voor de correctheid (die ik immers zelf propageer) heb ik deze tekst ook gestuurd naar info@switchpoint.nl en het perscentrum van KPN (via webform). Vooralsnog geen reactie ontvangen.

Update: reactie van KPN

Gepubliceerd op 16 augustus 2004, 21:23

Ik heb reactie ontvangen. Deze staat hier. Ik ben echter nog niet tevreden en heb doorgevraagd. Lopende zaak, dus.


VERZOEK AAN VOLKSVERTEGENWOORDIGERS IN DE TWEEDE KAMER

Geachte volkvertegenwoordiger,

De actie waar ik mee bezig ben tegen de gang van zaken omtrent SwitchPoint Incasso, leidt tot vragen waar ook u zich druk om zou moeten maken.

Vooreerst omdat het zeer waarschijnlijk ook uw persoonlijke prive-situatie raakt, maar daarnaast ook omdat u als verkozene de plicht heeft ons als burgers en consumenten in het Koninkrijk der Nederlanden te beschermen tegen malafide praktijken en activiteiten die in het schemergrijs van maatschappelijke onwenselijkheid worden uitgevoerd door aanbieders die soms teveel hun persoonlijk commerciële belangen voor ogen hebben.

Ik verzoek u hier aandacht aan te besteden en uw standpunt in te nemen.

De casus die hier besproken wordt, staat niet in zichzelf. Er zijn veel eerder indicaties geweest dat mensen het slachtoffer zijn geworden van de speling in leveringsvoorwaarden en wetgeving die zodanig in hun nadeel uitviel, dat de aanbieder haar gelijk bewezen had, maar het slachtoffer (ondanks duidelijke aanwijzingen) niet kon aantonen dat een bepaalde dienst Ťcht niet door hem of haar besteld was. In andere gevallen is vaak de transparantie omtrent leveringsvoorwaarden zodanig beperkt gebleken dat in tweede instantie een aanbieder onder druk van media en politiek overging tot de verschaffing van meer duidelijkheid.

Ik heb het in de voorgenoemde casussen onder andere over het fenomeen 0900-fraude, spookafschrijving van bankrekeningnummers algemeen, en SMS-diensten waar de ontvangst meerdere berichten tegen een kleine betaling slechts te stoppen bleek door consumenten, na aanzienlijke moeite om uit te vinden hoe dat moet.
Ik vertrouw op uw maatschappelijke betrokkenheid dat u weet waarover ik het heb; anders raad ik u aan vaker naar consumenten programma's als TROS Radar en VARA Kassa te kijken.

Ik verwacht van u als politicus dat u niet alleen bij het huidige probleem de belangen van consument en de KPN afweegt ten opzichte van hun maatschappelijke belang (en daaraan conclusies verbindt en bekrachtigt), maar ook dat u zich bezig houdt met de vraag waarom toch steeds de voorgenoemde en huidige problematiek ontstaat.

Innovaties in betaalmethodieken zijn maatschappelijk gezien alleen gewenst als zij in procesmatig, financieel en juridisch opzicht optimaal zijn voor zowel consument als aanbieder. In de huidige situatie lijkt vooral laatstgenoemde te profiteren van onkunde bij controlerende instanties of gebrek aan wetgeving: beide oorzaken zijn even erg.
Mijns insziens heeft KPN in dit geval zeer ten onrechte de goedkeuring verworven van DNB om de dienst in werking te zetten, en bestaat er daarnaast kennelijk een sfeer binnen de financiŽle wereld waarin het blauwenogen-gehalte van een specifieke incasso-gerechtigde voldoende lijkt om verder navraag omtrent een incasso-opdracht te vermijden, en deze zonder meer te laten uitvoeren.
Dit maakt het voor consumenten nagenoeg onmogelijk baas en heerser van eigen portemonnee te zijn; terwijl mij dit toch een grondrecht van iedere Nederlander lijkt.

Ik roep u dan ook op alle betrokken partijen te horen omtrent hun standpunt in de wijze waarop het huidige probleem vorm gekregen heeft, en te kijken of u kunt bijdragen aan een beter financieel en juridisch stelsel, waarbij aannames over een persoonlijke situatie van klanten niet direct meer doorvertaald kunnen worden in het ongewenst in werking zetten van juridische of financiele mechanieken, zonder expliciete en controleerbare toestemming van de betrokken consument.

Ik begrijp dat u als Kamerlid verantwoordelijk bent voor een goede financiŽle en innovatieve groei van de maatschappij, maar u bent tegelijkertijd ook verantwoordelijk voor onze veiligheid en geborgenheid als basisvoorwaarde daarvan.

Gezien deze redenen vertrouw ik erop dat u met gezond verstand en de nodige publieke aandacht de discussie aanzwengelt omtrent de wenselijkheden en onwenselijkheden in het gedrag van instanties zoals gebleken bij de KPN. Daarbij hoop ik dat u aanstuurt op een situatie waarin voorwaarden van de structurele problematiek zoals hiervoor genoemd, weggenomen zijn.

Was getekend,

Tjalling Kuipers


Update: gesprek consumentenbond

Gepubliceerd op 23 augustus 2004, 21:40 uur.

Ik heb vanmiddag een kwartier telefonisch gesproken met iemand van de consumentenbond, die mij op de hoogte bracht van hun standpunt: zij zijn sinds 2002 al in strijd met de banken die incasso's via internet goedkeuren zonder handtekening.
Hij stuurde mij per mail een URL naar hun actie uit 2002. Ze zijn op dit moment in beraad omtrent hun standpunt specifiek over de actie van de KPN.

De Consumentenbond acht de oorzaak van de problemen niet zozeer hoofdzakelijk bij KPN als wel bij banken die "zomaar" incasso's uitvoeren. Iedere stichting of organisatie kan incasso-rechten aanvragen en vrij gemakkelijk toegewezen krijgen. De oorzaak ligt dus ook bij De Nederlandsche Bank en de Nederlandse Vereniging van Banken.

Het weblog van Simon Lelieveldt die bij De Nederlandsche Bank gewerkt heeft en nu secretaris bij de Nederlandse Vereniging van Banken is, doet vermoeden dat daar intern ook de nodige discussies gaande zijn, met als voorlopige uitkomst handhaving van de huidige situatie. Helaas.

Dit neemt echter m.i. niet weg dat de KPN van deze mogelijkheden gebruik maakt zoveel zij de ruimte krijgt (wat logisch is gezien hun commerciële doelstelling), maar nu toch echt een stap tever is gegaan. Ik hoop dat beide problemen nu voldoende onderzocht gaan worden om verder leed bij consumenten te voorkomen en wel zo snel mogelijk.

PS: sorry voor de late update, ik had vandaag een deadline voor mijn afstudeerscriptie ;)


Links naar andere publicaties hierover

Via onderstaande links vindt u onder andere radio-interviews, nieuwsberichten in media en forumreacties van lezers op diverse websites:



Verzoek: mocht je mij linken (of alleen maar een melding maken op je site), stuur mij dan even een bericht met de lokatie van je website, dan komt deze hier ook te staan. Bvd. (svp via switchpoint - at - tjallingkuipers.nl)

Opmerking: ik ga geen forum openen, die zijn er al genoeg op dit moment. Mocht je een opmerking hebben die iets toevoegt aan mijn site dan hoor ik die ook graag.

Opmerking: deze site wordt op dit moment bijgewerkt. Lees verder op de oude pagina.

Opmerking: rond december ben ik voor de arbeidsmarkt beschikbaar.