Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties, 28.118 views •
Submitter: clannad

Een datalek op de website van de Belgische spoorvervoerder NMBS dat toegang gaf tot persoonsgegevens van treinreizigers zou veel groter zijn dan gedacht. Het gaat mogelijk om data van 1,5 miljoen NMBS-klanten die vermoedelijk wekenlang vrij toegankelijk waren.

Vorige week zaterdag werd bekend dat de NMBS-website een datalek bevatte nadat een internetgebruiker op een forum een link had gepost die verwees naar een pagina met klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een datalek met een beperkte omvang. Ook zou het privacylek de fout zijn van een slordige NMBS-medewerker.

Het lek op de site van de Belgische spoorvervoerder zou echter veel groter zijn dan eerder gedacht, zo meldt De Tijd. Volgens de krant zouden er 1,46 miljoen records vrij zijn op te vragen, al zou het bij een deel mogelijk om duplicaten gaan. Het is waarschijnlijk dat er al kopieën van de klantgegevens in omloop zijn.

De NMBS erkent inmiddels dat het gaat om zeker 'enkele honderdduizenden' gegevens die met de juiste link vrij toegankelijk waren. Daarnaast heeft de spoorvervoerder publiekelijk excuses gemaakt: 'De privacy van onze klanten is voor ons een prioriteit,' aldus de woordvoerder van de NMBS. Het spoorbedrijf claimt dat zijn websites jaarlijks via een audit op veiligheid worden gecontroleerd maar belooft naar aanleiding van het incident verdere maatregelen te treffen.

Reacties (33)

Welke dienstverlener gebruiken ze voor de jaarlijkse audit? Die mag weleens scherpere audits gaan doen dan.
Jaarlijkse audits heb je weinig/niks aan in dit soort gevallen. IT systemen zijn "continue" en kunnen van de Úne op de andere seconde onveilig worden als er een exploit gevonden wordt in een component waaruit je IT infra bestaat Ún die exploit wordt niet gemeldt

Hier in NL heb je 't voormalige GovCert en in andere landen heb je daar de lokale varianten van, maar ook die werken eigenlijk alleen maar reactief.
Ter info een linkje naar het forum waar het gat gevonden werd: http://forum.adsl-bc.org/viewtopic.php?t=81972.
Het bestand noemt emailvision.txt . Wanneer je in google zoekt naar emailvision kom je bij een frans marketing bedrijf uit gespecialiseerd in SaaS software voor marketingdoeleinden. Het lijkt me dus dat deze lijst bedoeld was om massmailings mee te versturen. Hoewel een tekstbestand idioot is om zulke data uit te wisselen met je onderaannemer blijft de vraag natuurlijk hoe zijn zoekmachines aan die link geraakt? Het lijkt me niet dat de NMBS of emailvision ergens publiekelijk linken naar deze lijst.

[Reactie gewijzigd door Blokker_1999 op 29 december 2012 15:17]

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True