Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties, 21.860 views •
Submitter: webinn

Het datalek op de site van de Belgische vervoerder NMBS zou zijn veroorzaakt door een menselijke fout, zo schrijft een Waalse krant. Een medewerker zou op een zeker moment op de 'verkeerde knop' hebben gedrukt. Vrijdag presenteert de NMBS zijn bevindingen.

Bij het datalek op de website van de NMBS waren volgens intern onderzoek van de vervoerder, waaruit de krant La Libre Belgique zijn informatie haalt, gegevens van ongeveer 700.000 reizigers publiekelijk toegankelijk. NBMS legt de resultaten vrijdag voor aan de Privacycommissie, een Belgische overheidsinstantie. Het is onduidelijk of de resultaten daarna publiek gemaakt worden.

De oorzaak van het datalek is volgens het interne onderzoek waarop La Libre Belgique zich zegt te baseren een 'menselijke fout'. Een medewerker zou 'op het verkeerde moment op de verkeerde knop' hebben gedrukt, waardoor alle gegevens publiek toegankelijk bleken. Waarom dit niemand binnen de organisatie is opgevallen, is onduidelijk.

Het lek in de website van de vervoerder kwam in december naar voren. In de uitgelekte data zaten de namen, adressen, e-mailadressen en telefoonnummers van klanten van de vervoerder.

Reacties (53)

Reactiefilter:-153051+140+27+31
Moderatie-faq Wijzig weergave
Het databestand was bedoeld voor de dienstenfirma die voor de NMBS een nieuwsbrief verstuurt naar klanten van NMBS Europe. Je kan dus zelfs zeggen dat er in die database hopen onnodige info stond voor het beoogde doel (naam & email zouden voldoende geweest moeten zijn, eventueel geslacht als je Mr./Mevr. wil toevoegen, maar huisadres, geboortedatum, e.d. waren absoluut onnodig), en dat lijkt me op zich ook ongewenst.
En die knop voegt in de firewall any any allow to neem ik dan aan ? :+
Waarop het management simpel tegen de medewerkers kan reageren met "Jullie zeggen toch altijd dat wij niks doen? Dus moet 1 van jullie het wel hebben gedaan". ;-)
Dus wss binnenkort weer een staking omdat de vakbond mss vindt dat het de fout is van management en men geen medewerkers mag beschuldigen.
Best handig zo'n 'verkeerde knop'. Zit die knop standaard in Windows ingebouwd?
De welbekende "Uitlek" knop is niet bedoeld voor het het openen van de kraan. :+
Welke knop? "enter"?
De "AAN" knop. Als gewoon niemand die server aanzet lekt er ook niets, druk je wel op die "AAN" knop dan lekt de boel..... ofwel: het is de schuld van de knop. |:(
Hey hoe kom jij aan mijn wachtwoord !
Waarom als het zogenaamd een "verkeerde knop" is, kan deze tool naderhand nog werken?!:
nieuws: Belg bouwt 'leak checker' voor NMBS-datalek - update
De grote rode PANIEK knop welke het root wachtwoord terugzet naar Welkom01 :)
Spijt me zeer, maar ook het vergeten van een < is, in een productie omgeving, onacceptabel. Waarom? Omdat dit op een test/acceptatie omgeving opgemerkt moet worden. Zeker een website als T.net, maar ook die van NMBS, moet een zgn. OTAP straat hebben, of in ieder geval twee delen daarvan.

Voor zover ik het NMBS verhaal begrijp, gaat het hier om het beschikbaar stellen van gegevens naar een derde partij. Erg lekker om te weten dat:
- NMBS zoveel privacy-gevoelige gegevens van haar klanten heeft
- deze gegevens zonder medeweten van die klanten met derden deelt
- dit op een technisch dusdanige manier wil doen dat deze gegevens zonder verdere controle geraadpleegd kunnen worden door die derde partijen
- als klapper deze gegevens vrolijk volledig publiek maakt

Op het verkeerde moment de verkeerde knop? Hadden ze echt geen betere smoes kunnen verzinnen? Wat was dan wel het juiste moment geweest voor die knop?

Graag wens ik NMBS zich aan haar eigen stelling te houden, haar schuldig te bevinden aan het onrechtmatig publiceren van een gigantisch aantal privegegevens en haar hiervoor zwaar te beboeten. Tevens zie ik graag de resultaten tegemoet van een door een externe, professionele partij uit te voeren onderzoek naar de databeveiliging en het beleid daaromtrent bij NMBS, waarbij de kosten voor dit onderzoek uiteraard op NMBS verhaald zullen worden.
SirQ geft het al voor en stuk aan.

Waar ik naartoe wou is dat de "menselijke fout" ook een excuus ZOU kunnen zijn. Om te verzwijgen dat er geen, of geen afdoende beleid is. Of dat leidinggevenden zelfs expliciet opdrachten geven die ingaan tegen beveiligingslogica.
Linksom of rechtsom, als de beveiliging van persoonsgegevens zo makkelijk op straat komt te liggen, is er sprake van een wanprestatie van een medewerker en/of een wanbeleid binnen het bedrijf. En vaak is het beide, en nog vaker is het zo dat wanbeleid de wanprestaties van medewerkers veroorzaakt.

Hoe dan ook ligt de bal in deze heel zwaar bij NMBS. En het excuus dat nu is gegeven is natuurlijk bij lange na niet voldoende.

Bij wijze van voorbeeldfunctie zou er een flinke boete overwogen moeten worden op het moment dat prive gegevens te grabbel wordt gegooid. Misschien dat dat bedrijven wat meer stimuleert om ook zelf wat meer aandacht aan IT security te besteden.

[Reactie gewijzigd door Vayra op 4 januari 2013 17:19]

Geen enkel bedrijf heeft meer nodig dan je naam, geboortedatum en het adres waar je volgens het GBA ingeschreven staat. Bij automatische incasso hoort daar nog een rekeningnummer bij.

Al het andere is informatie die eenmaal gegeven feitelijk op straat ligt, en informatie die een bedrijf niet nodig heeft om diensten te verlenen.
Van dat url invullen in zoekveld een omweg is ben ik niet met je eens. Veel mensen hebben google als startpagina en dan is het een kwestie van of de eno of de andere balk kiezen. Nadeel zoekbalk: een extra click (+ 15 ms voor ophalen resultaatpagina). Nadeel adresbalk: niet tolerant voor spelfouten, strenger met dingen als wel/niet www ervoor, strenger met extensie (tweakers.com?). Veel mensen vinden de hulp van Google opwegen tegen de extra klik.

* OddesE typed rechtstreeks in de adresbalk
Als je dit niet uit zet in de instellingen dan doen ze dat zeker ja, iets waar veel mensen geen erg in hebben maar bedrijven denk ik wel ;)
Om zaken op de productie site te zetten kan er alvast een beperking zijn in het aantal personen die dat mogen kunnen, verkleint al direct het risico op ongelukken tot de groep gelukkigen met permissies.

En dan ligt het aan "het beleid" om te zorgen dat die groep competent is, en desnoods security opleiding krijgt, zodat ze bij een request om 1.5 miljoen gegevens op de publieke webserver te zetten, er toch ergens in hun achterhoofd iets begint af te vragen "hmmmm, moeten we hier niets speciaals voor doen?"

Nu, dat zal wel te moeilijk zijn voor een overheidsinstelling...

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True