Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

De Belg Fre≠de≠ric Ja≠cobs heeft een website gebouwd waarop treinreizigers kunnen nagaan of hun persoonlijke gegevens op de website van de NMBS online toegankelijk waren. Vorige maand waren klantgegevens op de NMBS-site enige tijd vrij toegankelijk.

Eind december werd bekend dat NMBS-website een datalek bevatte. Een internetgebruiker postte op een forum een link die toegang gaf tot klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een 'beperkt' datalek. Enkele dagen later werd echter bekend dat er mogelijk 1,5 miljoen persoongegevens toegankelijk waren. Een deel van de data zou dubbel in de database staan, maar desondanks zouden de gegevens van honderdduizenden klanten van NMBS Europe op straat zijn komen te liggen.

Inmiddels is door de Belg Fre­de­ric Ja­cobs onder de naam SNCB Leak Check een website opgericht waarop treinreizigers kunnen nagaan of hun persoongegevens toegankelijk waren. Daarbij kan gezocht worden op voor- en achternaam, of een e-mailadres. Data als adres en telefoonnummer worden niet getoond na het ingeven van een zoekopdracht maar wel wordt aangegeven of er een 'hit' is.

Aan De Tijd laat Jacobs weten bezorgd te zijn over online databeveiliging. Ook meent hij dat treinreizigers het recht hebben om te controleren of hun gegevens toegankelijk waren door de fout van de NMBS. De Belgische spoorvervoerder distantieert zich echter van de website en stelt dat 'elke verspreiding van privégege­vens il­le­gaal is'. Ook zou de NMBS bekijken of het juridische mogelijkheden heeft om de SNCB Leak Checker aan te pakken.

Update 18:40: De website is offline gehaald vanwege 'privacyredenen'. De ontwikkelaar zegt de code desgevraagd te willen delen met de NMBS.

Reacties (65)

Reactiefilter:-165064+131+24+31
Moderatie-faq Wijzig weergave
Die truuk van een naamvoornaam+sitenaam@gmail.com te gebruiken kennen die spammertjes ondertussen ook wel hoor. Het is een kleine moeite om "+sitenaam" uit dat emailadres te schrappen.

Een paar online formulieren aanvaarden ook geen + meer in een mailadres.
Ik zou die brief wel uitbreiden met de wetten die ze overtreden hebben en dat zijn er aardig wat. Dat maakt meer indruk dan dat ze hun eigen statement overtreden hebben. Het overtreden van die wetten is immers strafbaar, het overtreden van een statement niet noodzakelijk.

Bovendien is het vragen van een compensatie mogelijk na burgerlijke partijstelling, maar - nogmaals - moet de schade in dat geval BEWEZEN worden. Je kan niet gewoon zeggen: nu ontvang ik spam en dat levert mij een schade van 1000 euro (of zelfs 5 euro, for all that matters).

Aangezien die burgerlijke partijstelling je ook geldt kost (150 euro als ik me niet vergis) en enige moeite (je moet langs de betrokken juridische instantie), acht ik de kans onbestaande dat je op basis van enkel deze brief een compensatie krijgt.

Een mooie geste naar alle betrokkenen kan daarentegen wel gemaakt worden door de NMBS, aangezien ze toch hun gegevens hebben ;) . Een hint voor hun dienst communicatie misschien :-).

[Reactie gewijzigd door VUB op 3 januari 2013 15:45]

Nou ja, dat hun communicatie een lachertje is, is al langer geweten. Omdat ze al gewend zijn te zien hoe de media hier mee omgaat, weten ze ook wel dat de storm weer gaat liggen. Trouwens al gemerkt dat er steeds een resem communicaties volgt met 'goed nieuws' vanuit de NMBS als er iets negatief in het nieuws komt? Hun goed recht, maar het is aardig transparant.

Als je eens op een rijtje zet hoeveel problemen ondertussen opgelost zijn nadat ze in de media kwamen, zou je schrikken. Geen haan die er ooit naar kraait.

Herinner je je nog dat probleem van een tweetal jaar terug waarbij een grapjas (totale buitenstaander) een vertreksein gaf aan de treinbestuurder op het perron? Toen kwam uitgebreid in de media dat iedereen met een simpele sleutel de trein kon doen vertrekken. Dat kan vandaag nog steeds... Erg vind ik zo'n zaken want dat is echt spelen met de veiligheid van je reizigers.
Nou, als je recht in je schoenen staat en de wet aan je zijde hebt, is er geen reden je te laten intimideren door een advocaat van de NMBS :) (of door om het even welke advocaat trouwens). Het is gelukkig nog altijd niet de advocaat die recht spreekt.
Heb je een referentie voor die wet? Zo is het nl helemaal niet in BelgiŽ. Ik zou graag eens bekijken hoe die wet dan tot stand kwam (wat de motivatie was), want dit lijkt me een vreemde constructie...
Tot voor kort mochten ze die goederen in een onafgesloten wagen zelfs in beslag nemen, maar als ik me niet vergis is die wet ondertussen aangepast. Niettemin, ook al wordt daar een boete aan gekoppeld, het ontslaat de dader niet van zijn misdrijf. Die zaken staan los van elkaar (tenzij dan als grond voor verzachtende omstandigheden, maar dat is altijd bewegen op drijfzand voor een advocaat).

De doodstraf is nogal overroepen, een straf kan sowieso al in vraag gesteld worden. Feit is wel dat Šls het voor de rechtbank komt (maar ik ben er niet van overtuigd dat het parket hier een hoge prioriteit zal aan geven) hij zijn straf niet kan ontlopen. De vereiste voorwaarden zijn immers nagenoeg bewezen en een rechter heeft dan wel een mate van speling, maar hij moet nog steeds de wet volgen. En de privacywetgeving is in deze zaak zeer duidelijk. Daarnaast is er nog de wet op de databanken etc.

Overigens, ik zou ten zeerste betwijfelen of het louter om de integriteit van de applicatie gaat. Ik kwam in het verleden al genoeg - onprettig - in aanraking met de privacycommissie om beter te weten. Hoewel het zeker een lovend initiatief is, trek ik sommige drijfveren toch in twijfel. Als wetenschapper word ik er nl ook aan handen en voeten door gebonden, terwijl wij sowieso nooit schade mogen toebrengen (en dus geen gegevens willen verspreiden). Dat gaat soms echt belachelijk ver. Zo moet van onderzoek vooraf bekend zijn wat verzameld wordt, hoe dat opgeslagen wordt en hoe dit beveiligd wordt. Tot daar kan ik hen zelfs nog goed volgen. Ook wetenschappers moeten bewust met data omgaan. De privacycommissie publiceert vervolgens je onderzoek, met deze details op hun site.

Lastiger wordt het wanneer je 'undercover' onderzoek doet naar criminele fenomenen. Dat open en bloot doen heeft nl soms belangrijke ristricties in mijn ogen (niet zoveel mensen vertellen open en bloot over wat ze mispeuteren). Je moet al behoorlijk creatief uit de hoek komen om compleet geen persoonlijke gegevens te noteren dan. En dat is dus helemaal niet toegelaten, tenzij je wil dat je 'undercover' onderzoek netjes gepubliceerd wordt op hun site. Zelfs al ga je die nooit bekend maken (dat zou je sowieso al in diskrediet brengen als wetenschapper en fin de carriere zijn).
Als je je deur open laat staan dan mogen anderen naar binnen.
Er is pas sprake van een strafbaar feit nadat de bewoner de 'bezoeker' heeft gesommeerd te vertrekken.

Althans, zo is het in Nederland.
http://www.standaard.be/a...elid=DMF20130102_00419611

"RUSSEL - Een extern bedrijf onderzoekt nog steeds hoe het komt dat de gegevens van 1,4 miljoen NMBS-gebruikers op het internet terechtkwamen. Dat meldt de vervoersmaatschappij. De NMBS moet het incident vrijdag gaan uitleggen bij de Privacycommissie.
Het intern onderzoek dat de NMBS liet uitvoeren, heeft twee weken na het lek nog steeds geen resultaten opgeleverd. 'We hebben donderdag een vergadering gepland met de firma die het onderzoek voert. Het onderzoek neemt veel tijd in beslag, voornamelijk wegens de kerstvakantie', verklaart NMBS-woordvoerster Nathalie Pierard."

.....

"‘Bezorgde' NMBS-klanten kunnen de Privacycommissie contacteren om te weten of hun gegevens openbaar werden gemaakt. De Commissie zal echter niet voor een financiŽle vergoeding kunnen zorgen. ‘We leggen geen sancties op, legt Wiertz uit. ‘We onderzoeken enkel of er sprake is van schending van de privacy.'

Maandag werd een website gecreŽerd waarop klanten kunnen controleren of hun gegevens openbaar werden gemaakt. ‘Hoewel de intenties van de internetgebruiker goed waren, is ook deze website een inbreuk op de privacy', zegt Wiertz nog. ‘Het gaat ook in dit geval over de verspreiding van persoonlijke gegevens zonder dat de bewuste personen daarvoor hun toestemming gaven.'"
Het is inderdaad strafbaar maar praktisch gezien ga je niet zo rap een boete krijgen. Het is eerder "Ah uw auto was niet gesloten en uw GPS is gestolen? Jammer dan!".

Waar de agenten wel echt op letten is of je geen dure dingen tentoonstelt in je auto, een laptop op de achterbank = een briefje onder de ruitenwisser.


OT: Veel mensen overdrijven hier. Net alsof ze die meneer de doodstraf willen geven omdat hij die tool heeft gemaakt. Volgens mij spelen ze volgens het better safe then sorry systeem en vertrouwen ze de integriteit van de applicatie niet helemaal (al dan niet terecht) en vrezen ze verdere lekken.
Ik denk niet dat er een wet is die je verbied om je huis niet vast te maken. Een eventuele verzekering kan daar uiteraard wel anders over denken.

Er is wťl een wet die je verplicht je wagen op slot te doen als je die verlaat. Meer nog, ik ben daar ooit voor beboet, weliswaar samen met een overtreding voor verkeerd parkeren. Dat kost je 50 euro ..
Met de intentie van SNCB aan te pakken vragen ze eigenlijk om zelf aangepakt (aangeklaagd) te worden.
SNCB = NMBS
Naar die wet ben ik dan toch benieuwd. Referenties? Of gaat het om gemeentelijke reglementjes en de lachwekkende GAS-toestanden? Lijkt me iets dat niet bepaald stand zal houden voor een hogere rechtbank. Er wordt dan wel hard gefocust op preventie etc., maar dat is nog iets anders als het strafbaar maken.

Niettemin altijd bereid om iets bij te leren...
Wat is dat nou voor onzin. Dus je deur moet ten alle tijden op slot zitten? Hoe ga je dan naar binnen? Of wordt de soep stiekem toch niet zo heet gegeten als hij door jou wordt opgediend en is er een enorme nuancering van toepassing op je stelling, bijv. dat hij niet op slot hoeft als je thuis cq in de buurt bent? (Dit nog even naast het feit dat ik Łberhaupt over de validiteit van je stelling twijfel)

Want het lijkt me niet dat je strafbaar bent als je de deur even open laat staan terwijl je bijv. iets in je auto aan het laden bent. In tussentijd kan iemand anders wel mooi naar binnen lopen. En ja, dat heet in Nederland huisvredebreuk en is op zijn beurt weer strafbaar, en ik gok dat dat in BelgiŽ niet anders is.

[Reactie gewijzigd door .oisyn op 3 januari 2013 00:45]

Maar hier is toch helemaal geen sprake van hacken? Het was een publieke onbeveiligde url die op een normaal forum werd gepost. Als het klikken op een dergelijke link al strafbaar is ...
Die opmerking dat het ook hacken is als er geen beveiliging omzeild wordt laat weinig ruimte open voor interpretatie. Het wordt misschien een ander verhaal als je oprecht in de veronderstelling bent dat het om opzettelijk openbaar gemaakte gegevens gaat maar daar was hier geen sprake van. Het was de gebruikers op het betreffende forum duidelijk dat deze gegevens door een beveiligingsfout toegankelijk waren. Bovendien werd uit de gegevens zelf ook wel duidelijk dat het niet om publieke data ging.

Dat het alleen om die reden al strafbaar is gaat misschien in tegen het algemene beeld van hacken en de opvatting dat daar altijd een beveiliging voor moeten worden omzeild. De Nederlandse wet spreekt overigens over computervredebreuk. Daarbij gaat het vooral om wederrechtelijke toegang, dus zonder toestemming van de rechthebbende, niet over toegang na het doorbreken van een beveiliging.
Dan blijft het huisvredebreuk, inbreuk op de persoonlijke levensfeer. Een huis behoort nog altijd tot de privťsfeer ;) . Jij mag je deur openzetten, maar dat betekent niet dat je anderen uitnodigt om binnen te komen.
Neen, dat mag je niet. Je bent strafbaar in BelgiŽ als je je voordeur van je huis of deur van je auto niet op slot doet.
Een auto verkopen aan mensen die geabonneerd zijn bij de NMBS :?
Ze staan vast wel ergens op pastebin?
Dan blijft het huisvredebreuk, inbreuk op de persoonlijke levensfeer. Een huis behoort nog altijd tot de privťsfeer ;) . Jij mag je deur openzetten, maar dat betekent niet dat je anderen uitnodigt om binnen te komen. Al wordt een 'blaming the victim' aanpak wel eens gebruikt door advocaten. Gelukkig blijft er de wet.

Maar natuurlijk is het niet exact hetzelfde, al lijkt de link me toch niet zo uit de lucht gegrepen. Misschien had ik beter een wat uitgebreider verhaal opgegangen (je schrijft een boek, laat het manuscript liggen en iemand schrijft het over omdat die kon binnenwandelen nadat je de deur openliet ;-). Niets letterlijk gestolen, wel gekopieerd). Blijft nog altijd wel verschillen hebben. Onze wetgeving moest zich niet voor niets aanpassen aan de digitale wereld (een - net zoals bij alle wetgeving - ongoing process overigens).

In ieder geval, volgens de privacywetgeving is het wel degelijk strafbaar. Het feit dat iemand de gegevens slecht (of niet) beveiligt geeft je nog niet het recht die te downloaden en te analyseren. Je maakt je alleen mee schuldig.

[Reactie gewijzigd door VUB op 2 januari 2013 21:38]

Leegroven is uiteraard strafbaar, het is immers diefstal. In dit geval wordt er echter niets geroofd of gestolen of beschadigd. Zou je het dan niet eerder beschouwen als binnenkijken? En is dat dan wel strafbaar?

De tool is dan vergelijkbaar met hem vragen 'heb jij mijn spullen daar zien staan?' opdat je zou weten of je al dan niet iets te vrezen hebt.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True