Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

De Belg Fre­de­ric Ja­cobs heeft een website gebouwd waarop treinreizigers kunnen nagaan of hun persoonlijke gegevens op de website van de NMBS online toegankelijk waren. Vorige maand waren klantgegevens op de NMBS-site enige tijd vrij toegankelijk.

Eind december werd bekend dat NMBS-website een datalek bevatte. Een internetgebruiker postte op een forum een link die toegang gaf tot klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een 'beperkt' datalek. Enkele dagen later werd echter bekend dat er mogelijk 1,5 miljoen persoongegevens toegankelijk waren. Een deel van de data zou dubbel in de database staan, maar desondanks zouden de gegevens van honderdduizenden klanten van NMBS Europe op straat zijn komen te liggen.

Inmiddels is door de Belg Fre­de­ric Ja­cobs onder de naam SNCB Leak Check een website opgericht waarop treinreizigers kunnen nagaan of hun persoongegevens toegankelijk waren. Daarbij kan gezocht worden op voor- en achternaam, of een e-mailadres. Data als adres en telefoonnummer worden niet getoond na het ingeven van een zoekopdracht maar wel wordt aangegeven of er een 'hit' is.

Aan De Tijd laat Jacobs weten bezorgd te zijn over online databeveiliging. Ook meent hij dat treinreizigers het recht hebben om te controleren of hun gegevens toegankelijk waren door de fout van de NMBS. De Belgische spoorvervoerder distantieert zich echter van de website en stelt dat 'elke verspreiding van privégege­vens il­le­gaal is'. Ook zou de NMBS bekijken of het juridische mogelijkheden heeft om de SNCB Leak Checker aan te pakken.

Update 18:40: De website is offline gehaald vanwege 'privacyredenen'. De ontwikkelaar zegt de code desgevraagd te willen delen met de NMBS.

Reacties (65)

Reactiefilter:-165064+131+24+31
Moderatie-faq Wijzig weergave
Op zich moet je elke gegevensbank met informatie over de privé-sfeer al aangeven bij de Privacy Commissie. (Wet 8 december 1992) Alleen al op basis daarvan hadden ze die site kunnen aanpakken.

[Reactie gewijzigd door Jack77 op 2 januari 2013 18:51]

Het is in België bij wet verboden je toegang te verschaffen tot gegevens indien je - logischerwijs - kan weten dat je geen toegang mag hebben (en vermoed dat dit ook in NL zo is??). Dat geldt ook voor het bevragen van de gegevens. Dat op zich is dus al strafbaar. Daarnaast kan je natuurlijk nagaan wie al dan niet klant is bij de NMBS (in de veronderstelling dat het om klanten gaat natuurlijk). Of dat nu een privé-gegeven is, is een andere discussie natuurlijk.

Los daarvan vind ik het een nobel idee om mensen de mogelijkheid te geven om na te gaan of hun gegevens verspreid werden en zou ik het een bizarre gedachte vinden dat de NMBS daarom juridische stappen zou ondernemen. Maar aangezien ik er zelf ook al mee in aanraking kwam, verwacht ik wel een juridisch vervolg...

[Reactie gewijzigd door VUB op 2 januari 2013 18:27]

Wettelijk gezien maakt het feit of de gegevens publiek staan of niet weinig uit. Het kan als grond voor 'verzachtende omstandigheden' gebruikt worden, maar of dat iets uitmaakt hangt gewoon af van de rechter in kwestie. Verzachtende omstandigheden zorgen ook nooit voor kwijtschelding van de straf, enkel een inperking.

Zelfs zonder dat de NMBS klacht indient kan de jongen dus vervolgd worden. Stelt de NMBS zich bovendien nog burgerlijke partij, dan wordt die kans alleen maar groter. Qua schadevergoeding die de NMBS kan eisen, zal het echter allemaal wel meevallen. Die schade moet immers ook bewezen worden :-). Over het strafrechtelijk luik maak ik me meer zorgen.

Op zich vind ik die wet ook wel logisch omdat ze er poogt voor te zorgen dat - zoals in dit geval - slecht beveiligde (lees: niet) data zich niet zonder meer kan verspreiden. Niettemin was het verspreiden van gegevens niet de opzet van de jongen en bovendien zijn weinigen op de hoogte van dit gegeven waardoor ze natuurlijk in dit gegeven faalt.

Dura lex sed lex ;) . Laat overigens duidelijk zijn dat de NMBS hier zelf ook een aantal wetten overtrad die ongetwijfeld een staartje krijgen. Naar wat ik opvang - maar dat is natuurlijk subjectief - zitten er aardig wat data in die mensen nooit gecommuniceerd hebben naar dit bedrijf. En zelfs als ze die uit een gouden of witte gids gingen halen, dan nog mogen ze die niet zonder meer in een databank stoppen.

[Reactie gewijzigd door VUB op 2 januari 2013 19:39]

De gegevens in kwestie stonden via een publieke link online zonder enige vorm van bescherming. Ik denk dus niet dat er in die richting iets misdaan is.
Daar denkt de Belgische overheid toch anders over. Een quote van http://www.belgium.be/nl/...tercriminaliteit/hacking/:
Zelfs het hacken van een informaticasysteem dat niet of nauwelijks beveiligd is, is strafbaar.
Overigens is dat in Nederland niet anders volgens jurist Arnoud Engelfriet: 'Lekken kersttoespraak is strafbaar'.

[Reactie gewijzigd door Tribits op 2 januari 2013 18:56]

Maar hier is toch helemaal geen sprake van hacken? Het was een publieke onbeveiligde url die op een normaal forum werd gepost. Als het klikken op een dergelijke link al strafbaar is ...
De Belgische wet spreekt ook over computervredebreuk. Samengevat komt dit neer op jezelf toegang verschaffen tot gegevens waarvan je weet dat je er geen toegang toe mag hebben, of die nu beveiligd is of niet.
Er is een constitutief element om hier een misdrijf van te maken. Zo moet je je ook doelbewust toegang verschaffen. Kom je er toevallig op terecht en zie je dat je de gegevens niet hoort te zien, dan sluit je de site af en is er geen probleem.

Hacken van gegevens is NIET nodig om er voor vervolgd te worden. Stel dat jij je deur laat openstaan terwijl je weg bent. Hoewel geargumenteerd kan worden dat dit ongelooflijk stom is, blijft degene die daardoor toegang tot je woning verschaft om de boel leeg te roven strafbaar.

Hier kan je moeilijk argumenteren dat de jongen niet wist dat hij geen toegang mocht hebben, aangezien hij de toel net bewust online gooide om ervoor te zorgen dat men kon zien of de gegevens onterecht gepubliceerd werden.

[Reactie gewijzigd door VUB op 2 januari 2013 19:56]

Ik relativeer het ook wel even omdat iedereen de Gouden of Witte gids kan raadplegen, doch email adres, geboortedatum etc zijn bij mijn weten iets wat ik niet graag te grabbel gooi.
Het feit dat ik met mijn normaal non-kom-maar-op-spam email adres geregistreerd sta bij hen kan ik niet om lachen. Als ik nu via daar ook spam ga binnenkrijgen weet ik genoeg.

Wie weet wat is er nog allemaal gelekt via deze weg?
Log file van een robot programming contest op GoT als ik mij goed herinner.
Als iemand morgen van jou stiekem foto's neemt terwijl je op wc zit en hij zet ze publiek op facebook, waarna Google er begint naar te verwijzen en anderen dit beginnen te kopiëren en te linken, dan is degene die de foto nam volgens de wet strafbaar, maar ook iedereen die de foto overnam. Google kan dit overigens in dit geval ook niet zonder meer reproduceren, maar internationale wetgeving maakt het nog wat complexer daar ;) .

Daarbij komt natuurlijk dat je een databestand dat niet voor je bedoeld was kan doorzoeken (wat hier gebeurde) en dit kan wettelijk gezien ook niet. Los van wat de moraal hierrond kan zijn, is de wet gewoon de wet...
de NMBS heeft veel te veel politieke vriendjes waardoor dit op een sisser uit zal draaien.
Enige manier om hier iets tegen te doen is alle bekende vlamingen en politiekers opzoeken in het bestand en deze beginnen 'lastig vallen'. Dan pas komt het in het gewone nieuwsoverzicht en begint de politiek er naar te kijken. Spijtig dat het bestand nergens te vinden is... (want ik sta er ook in)
Voorlopig nog geen spam ontvangen op het adres waarmee ik me inschreef. Blij dat ik toch voor elke site een ander email adres gebruik om me in te schrijven.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True