Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties, 26.962 views •

De Belg Fre­de­ric Ja­cobs heeft een website gebouwd waarop treinreizigers kunnen nagaan of hun persoonlijke gegevens op de website van de NMBS online toegankelijk waren. Vorige maand waren klantgegevens op de NMBS-site enige tijd vrij toegankelijk.

Eind december werd bekend dat NMBS-website een datalek bevatte. Een internetgebruiker postte op een forum een link die toegang gaf tot klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een 'beperkt' datalek. Enkele dagen later werd echter bekend dat er mogelijk 1,5 miljoen persoongegevens toegankelijk waren. Een deel van de data zou dubbel in de database staan, maar desondanks zouden de gegevens van honderdduizenden klanten van NMBS Europe op straat zijn komen te liggen.

Inmiddels is door de Belg Fre­de­ric Ja­cobs onder de naam SNCB Leak Check een website opgericht waarop treinreizigers kunnen nagaan of hun persoongegevens toegankelijk waren. Daarbij kan gezocht worden op voor- en achternaam, of een e-mailadres. Data als adres en telefoonnummer worden niet getoond na het ingeven van een zoekopdracht maar wel wordt aangegeven of er een 'hit' is.

Aan De Tijd laat Jacobs weten bezorgd te zijn over online databeveiliging. Ook meent hij dat treinreizigers het recht hebben om te controleren of hun gegevens toegankelijk waren door de fout van de NMBS. De Belgische spoorvervoerder distantieert zich echter van de website en stelt dat 'elke verspreiding van privégege­vens il­le­gaal is'. Ook zou de NMBS bekijken of het juridische mogelijkheden heeft om de SNCB Leak Checker aan te pakken.

Update 18:40: De website is offline gehaald vanwege 'privacyredenen'. De ontwikkelaar zegt de code desgevraagd te willen delen met de NMBS.

Reacties (65)

Reactiefilter:-165064+131+24+31
Moderatie-faq Wijzig weergave
site is reeds offline gehaald voor privacyredenen
In een blogpost laat Frederic Jacobs weten dat er niemand hem officieel gecontacteerd heeft, maar zegt hij dat de Privacy Comission het initiatief niet ondersteunt:
Although no one has contacted me officially yet. I took the website down.
This follows the fact that the Privacy Commission didn’t support the initiative.
Ook zegt hij dat hij de source code graag aan de NMBS zelf doorspeelt zodat zij de applicatie zelf kunnen draaien.
If the SNCB / NMBS wants to host it it will be my great pleasure to give them the source code.
Tot slot geeft hij nog enkele nuttige links door om meer over het topic te weten te komen:
Toch vraag ik me af hoe zo'n leak check site, mits juist geïmplementeerd, inbreuk maakt op iemand's privacy. Je hebt de data zelf namelijk niet permanent nodig als je alle gegevens hasht of gebruik maakt van een Bloom filter. Uiteraard heb je de gegevens wel eenmalig nodig en technisch gezien is het downloaden ervan strafbaar, maar het lijkt me stug dat ze iedereen gaan vervolgen die de gegevens hebben gedownload en die vervolgens hebben vernietigd, helemaal als je de slachtoffers ermee een zinnige dienst verleent.
Als je de email gegevens al hebt, waarom dan niet een mail sturen, met als bijlage een klachtenformulier ;)
Hierbij een link naar een standaard klachtenbrief die je kan richten aan de NMBS en Privacycommissie.
Ik ga mijn brief alvast opmaken...
Ik zou die brief wel uitbreiden met de wetten die ze overtreden hebben en dat zijn er aardig wat. Dat maakt meer indruk dan dat ze hun eigen statement overtreden hebben. Het overtreden van die wetten is immers strafbaar, het overtreden van een statement niet noodzakelijk.

Bovendien is het vragen van een compensatie mogelijk na burgerlijke partijstelling, maar - nogmaals - moet de schade in dat geval BEWEZEN worden. Je kan niet gewoon zeggen: nu ontvang ik spam en dat levert mij een schade van 1000 euro (of zelfs 5 euro, for all that matters).

Aangezien die burgerlijke partijstelling je ook geldt kost (150 euro als ik me niet vergis) en enige moeite (je moet langs de betrokken juridische instantie), acht ik de kans onbestaande dat je op basis van enkel deze brief een compensatie krijgt.

Een mooie geste naar alle betrokkenen kan daarentegen wel gemaakt worden door de NMBS, aangezien ze toch hun gegevens hebben ;) . Een hint voor hun dienst communicatie misschien :-).

[Reactie gewijzigd door VUB op 3 januari 2013 15:45]

Ik snap niet waarom de NMBS hier juridische stappen wil tegen ondernemen.
Ik vind het juist goed dat ik op zijn minst op deze manier kan zien of mijn adres gelekt is of niet.
Jammer genoeg is dit dan ook het geval voor zowat mijn hele familie.

Ik snap ook niet waarom ik nog geen excuseer mailtje heb ontvangen van NMBS.

/offtopic: staat de dump eigenlijk online? Heb die nergens gezien...
De site is zelf een nieuw datalek. Als ik als ijverige spammer zou willen weten wie in mijn bestand NMBS klanten zijn vond ik daar het antwoord.

PS: Je hebt natuurlijk gelijk dat je als klant inzage wil. Maar dat zou de NMBS moeten leveren, niet een goedwillende amateur met onbekende beveiligingsstatus.

[Reactie gewijzigd door TheekAzzaBreek op 2 januari 2013 18:20]

Er worden helemaal geen juridische stappen genomen. De programmeur heeft deze site volledig op eigen initiatief neergehaald omdat de privacycommissie niet akkoord was met deze tool.
Knap van de NMBS! De wereld op zijn kop, zij hebben de data gelekt maar ze gaan de website die geen gegevens vrijgeeft aanpakken.

Mijn prive gegevens zijn blijkbaar ook gelekt .... dankzij de NMBS en niet dankzij Jacobs.

Als we logisch denken, wie zou ik verantwoordelijk stellen de NMBS of Jacobs?
Hun eerste reactie na publicatie van het lek, was om de persoon die het lek gevonden heeft uit te kafferen. Dan minimaliseren ze het lek. Vervolgens willen ze de persoon vervolgen die hun klanten de mogelijkheid geeft om na te kijken welke gegevens eventueel gelekt zijn.

"Shoot the messenger. All of them"

Mijn naam staat er tussen. Ondertussen nog altijd geen verontschuldigingen of wat dan ook van de NMBS ontvangen. Overigens, volgens de uitleg van de NMBS stond dat bestand daar om hun klanten nieuwjaarsgroeten te sturen. Afgezien van het feit dat dat wel een bijzonder flauw excuus is, is het ook een leugen.
Die had ik nog niet gehoord :). Maar het is niet alleen een flauw excuus, het gaat hun ook in lastige schoentjes zetten voor de rechtbank. Laat ze maar eens verklaren waarom ze hier 1. onrechtmatig een bestand voor aanleggen (moet met goedkeuring privacycommissie), 2. geen beveiliging voor voorzien hebben (zijn ze natuurlijk ook al verantwoordelijk voor volgens de wet) en 3. waarom er dan in godsnaam geboortedata, telefoonnumers, mail, etc instonden.

Tenzij ze hun boodschap natuurlijk via mail wilden versturen. Oeps, dan hebben we een punt 5 want je mag niet ongevraagd gaan mailen voor reclamedoeleinden (en ik heb ze in ieder geval daartoe niet gemachtigd. Dat laat ik geen enkel bedrijf toe).
Gisteren was die site nog online, en ik stond er op. Wel bleek dat enkel mijn e-mailadres toegankelijk was, maar mijn adres niet.
Vervolgens heb ik ook mijn moeder opgezocht, maar daarvan was helemaal niets gelekt: de combinatie van naam en achternaam werd niet gevonden in de files.
Nochtans neemt zij al vele jaren de trein naar haar werk, terwijl ik maar 2 jaar van de trein gebruik heb moeten maken (tot in een auto had).
Ik vermoed dat het ermee te maken heeft of je ooit tickets online besteld hebt.
Mijn gegevens zijn gelekt :'( ; ik bestel (vanaf nu misschien "bestelde") mijn tickets steeds online.
Had iemand de gegevens dan in een database gestopt en ze verspreidt over Internet? Of heeft deze man de gegevens zelf eigenhandig geript van de NMBS site?
Ze stonden gewoon als tekstbestand op hun site, lekker indexeerbaar door Google etc. Men is er ook via een toevallige zoekopdracht in Google op terecht gekomen...
En nu nog even wachten tot de db op tpb verschijnt... 8)7
Ze staan vast wel ergens op pastebin?
De site is alweer offline door aandringen van de "Privacy Commission" welke niet achter het initiatief stonden.
Edit: flamingworm was iets eerder

[Reactie gewijzigd door Junia op 2 januari 2013 18:10]

Daar zijn ook Europese directieven rond en volgens de wet van die 'achtelijke belgen' is het ook mogelijk inzage te krijgen in de gegevens die rond je verzameld werden op simpele vraag. Geven ze die niet, dan is de NMBS - opnieuw - strafbaar.

Het kan helpen om wat achtergrond te hebben in de materie voor je een compleet ongefundeerde mening ventileert.

Trouwens, ook volgens de Nederlandse wet ben je strafbaar als je de gegevens doorzoekbaar maakt leerde ik hier net. Lijkt me ook logisch gezien de Europese directieven hierrond.

[Reactie gewijzigd door VUB op 3 januari 2013 01:47]

Jij leest dit blijkbaar verkeerd, want die persoon heeft de website op eigen initiatief neergehaald omdat de privacycommissie dit niet ondersteunde.
Ik zeg daar niks over in mijn post? Ik doelde op de zin
Ook zou de NMBS bekijken of het juridische mogelijkheden heeft om de SNCB Leak Checker aan te pakken.
Hoe je het ook went of keert: die site is een gevolg van een fout bij het bedrijf, zonder die fout was die site er ook niet geweest.
Het is natuurlijk wel terecht dat ze ertegen ageren, de betrouwbaarheid van de man is een gok, maar dat is de betrouwbaarheid van de NMBS ook en da's nog veel erger als je het mij vraagt.

[Reactie gewijzigd door SuBBaSS op 3 januari 2013 01:56]

Je post past helaas vooral het predikaat "lomp", maar wat mij betreft wel ontopic.
Je zinnen beginnen met hoofdletters doet sowieso wat beter aan, maar dat terzijde.
Ik vind het ook te gek voor woorden dat de NMBS hier duidelijk steeds aan het downplayen is, waarschijnlijk bedoeld als damage control, maar vervolgens is het natuurlijk van de gekke dat ze nu gaan kijken of deze man juridisch vervolgd kan worden. Zorg dat je je boeltje op orde hebt NMBS, steek de hand in eigen boezem en ga niet kinderachtig doen.

Het was blijkbaar vrij eenvoudig om bij de gegevens te komen en ik ben dan ook benieuwd of de NMBS hetgeen zij de poster op de site verwijten niet op henzelf van toepassing is, want god weet wat er met die persoonsgegevens gebeurd is en door deze fout hebben ze de gegevens immers zelf beschikbaar gemaakt. Dat ze het niet wisten maakt het alleen maar erger!
Ik zou het in ieder geval totaal niet acceptabel vinden met zo'n verhaal afgescheept te worden.
De fout lag bij de NMBS en niet anders dan dat.

Hulde voor de maker van deze check, want blijkbaar kun je de NMBS je gegevens niet toevertrouwen.
Hij stond al eventjes online, en helaas heb ik gecheckt en zijn mijn contactgegevens gelekt (Adres en emailadres). M.i. schandalig bewind op beveiligingsvlak van de NMBS, maar ik zou niet weten wat je ertegen kunt doen of waar je kunt gaan klagen.
En al veel reclame ontvangen van autobouwers of horlogemakers?
Een auto verkopen aan mensen die geabonneerd zijn bij de NMBS :?
NMBS Is niet aan zijn proefstuk toe om burgerinitiatieven rechtstreeks via juridische weg de kop in te drukken. Enkele jaren geleden wist één creatieve ontwikkelaar de NBMS-fossielen de les te spellen door een app op de markt te brengen waardoor je met je iphone eindelijk de mogelijkheid had om de treinuren na te kijken. Ze weten echt niet waar ze met bezig zijn, alles gaat traag en moeizaam.

http://www.nickdemey.be/2...ait-klacht-om-koekjedeeg/
Helaas heeft de NMBS meer advocaten en managers in dienst dan werknemers...
Nou, als je recht in je schoenen staat en de wet aan je zijde hebt, is er geen reden je te laten intimideren door een advocaat van de NMBS :) (of door om het even welke advocaat trouwens). Het is gelukkig nog altijd niet de advocaat die recht spreekt.
de NMBS heeft veel te veel politieke vriendjes waardoor dit op een sisser uit zal draaien.
Enige manier om hier iets tegen te doen is alle bekende vlamingen en politiekers opzoeken in het bestand en deze beginnen 'lastig vallen'. Dan pas komt het in het gewone nieuwsoverzicht en begint de politiek er naar te kijken. Spijtig dat het bestand nergens te vinden is... (want ik sta er ook in)
Voorlopig nog geen spam ontvangen op het adres waarmee ik me inschreef. Blij dat ik toch voor elke site een ander email adres gebruik om me in te schrijven.
Die truuk van een naamvoornaam+sitenaam@gmail.com te gebruiken kennen die spammertjes ondertussen ook wel hoor. Het is een kleine moeite om "+sitenaam" uit dat emailadres te schrappen.

Een paar online formulieren aanvaarden ook geen + meer in een mailadres.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True