Lek in site parkeerbedrijf bij Schiphol faciliteerde diefstal gegevens en auto's

Door een lek in de website van een parkeerbedrijf vlakbij Schiphol kon een kwaadwillende gemakkelijk de reserveringsgegevens van andere klanten inzien en afdrukken. Met deze afdruk konden andermans auto's zonder problemen meegenomen worden.

De redactie van televisieprogramma Kassa kwam er dankzij een tip achter dat de reserveringsgegevens van anderen gemakkelijk in waren te zien door de url bij een reserveringspagina te veranderen. Blijkbaar stonden reserveringsnummers zonder enige wijziging in de adressen van de webpagina's. Na wijziging van het nummer kan een kopie van de reservering geprint worden, waarmee een kwaadwillende de auto van een vreemde zonder meer kon ophalen. Dit werd mede mogelijk gemaakt door het feit dat het personeel van het bedrijf blijkbaar niet de identiteit van de klant verifieerde bij het afhalen van de auto.

Niet alleen de auto van een potentieel slachtoffer liep gevaar. Ook alle gegevens die komen kijken bij een dergelijke parkeerplaatsreservering konden worden ingezien wanneer een kwaadwillende van url wisselt. Kassa spreekt van persoonsgegevens, een beschrijving van de auto en de tijdsperiode van de afwezigheid van de klant. Mogelijk konden ook betaalgegevens ingezien worden, maar daar spreekt het programma niet over.

Het lek was aanwezig bij de parkeerbedrijven van Airport Parking Solutions. Dit lijkt een holdingbedrijf te zijn en in ieder geval het bedrijf VIP Parking valt hieronder. Daar heeft Kassa ook de proef op de som genomen. Het programma heeft daar driemaal auto's van anderen weten mee te nemen. De beveiligingslekken zijn inmiddels gedicht, vertelt de eigenaar van de bedrijven aan Kassa. De gegevens worden nu alleen nog per e-mail verstrekt. Ook zijn de medewerkers geïnstrueerd om daadwerkelijk op identiteiten te controleren, wat al verplicht was maar dus niet gedaan werd.

In een reactie tegenover Kassa benadrukt luchthaven Schiphol dat de bedrijven niet gelieerd zijn aan het vliegveld en het dus geen verantwoordelijkheid draagt voor de bedrijfsvoering daarvan. Bovendien biedt Schiphol zelf ook dergelijke parkeerplaatsen voor de langere termijn.

IT-banen

Reacties (106)

elwais 15 januari 2017 14:47

Dit doet me eraan denken 'hoe veilig zijn mijn gegevens biij vlieg maatschappijen en reisbureaus'? Als die gehackt worden dan weten ze wanneer, hoelang en waarheen ik op vakantie ben. Je geeft ze in vertrouwen af en denk er niet aan of het wel veilig bewaard wordt. Naief eigenlijk. Het opvragen en verwerken van dit soort persoonlijke tegens zou aan bepaalde gecertificeerde eisen moeten voldoen en door een onafhankelijke instantie gecontroleerd moeten worden. Niet dat het dan 100% veilig Is maar de kans op iegverkleint.

Mr_gadget @elwais • 15 januari 2017 15:37

Was laatst ook in het nieuws, uit de qr code op je ticket kan je ook je boeking inzien en zelfs wijzigen. Of cancelen en het geld laten storten. Mensen die vrolijk hun ticket op instagram posten werden hiervoor gewaarschuwd. Dit was dus ook niet zo goed beveiligd.

Schiphol heeft er niks mee te maken. Maar indirect zijn ze door het dure parkeren op Schiphol zelf natuurlijk ook wel een beetje betrokken dat er van dit soort bedrijfjes opkomen.

Dennisdn @Mr_gadget • 15 januari 2017 16:19

Dat is niet helemaal een goede vergelijking. Schiphol rekent gewoon eerlijke prijzen ten opzichte wat het hen kost. Zij hebben gekwalificeerde medewerkers met pernsioenregelingen etc. Zij parkeren de auto's op eigen bewaakt terrein en terrein is (erg) duur.
Deze bedrijven werken met vriendjes van vriendjes van vriendjes en parkeren in de buurt op industrieterreinen op openbare gratis parkeerplaatsen, dat is al meerdere keren aangetoond door de consumentenprogramma's.

B64

@Dennisdn • 15 januari 2017 18:38

Die consumentenprogramma's op tv laten natuurlijk niet de bedrijven zien die zich keurig aan regels en beloftes houden, daar is namelijk geen snars aan. Maar dat wil niet zeggen dat er geen bedrijven zijn die het gewoon netjes doen. Die de auto's wel op hun eigen terrein parkeren, beveiligd en soms zelfs overdekt, maar tóch stukken goedkoper zijn dan Schiphol. En dat verschil kun je echt niet terugvoeren op het al dan niet betalen van pensioenvoorzieningen...

Tralapo @B64 • 15 januari 2017 20:12

Maar waarschijnlijk (heb geen ervaring), óók wat verder van de luchthaven af. Waar meer ruimte is en grond dus goedkoper. Zal zeker meespelen.

supersnathan94

Datalek

@B64 • 15 januari 2017 22:49

Schiphol heeft ook een aantal externe bedrijven die zich netjes aan de regels houden en een eigen parkeer terrein hebben (bewaakt) met bijvoorbeeld elektrische laadpalen en valet service. Ik weet dat mijn ouders hier gebruik van hebben gemaakt en dat ze er erg over te spreken waren. De auto werd netjes afgetankt aangeleverd inclusief schoonmaak regeling (ws even de hogedruk reiniger er overheen ivm stof en vuil door het lang langparkeren). Keurige service afspraken dus. Dergelijke bedrijven zijn vaak goedkoper of even duur doordat ze veel goedkoper terrein verderweg hebben kunnen krijgen.

kielkiel @Dennisdn • 15 januari 2017 19:30

Er zijn ook bedrijven waar je je auto achterlaat op hun eigen parkeerterrein.....en vervolgens brengen zij je in een eigen taxibusje naar schiphol. Die vriendjes van vriendjes hebben de 'service' dat je je auto op schiphol kunnen afgeven.....

bytemaster460 @Dennisdn • 15 januari 2017 20:07

Ja, er zijn malafide parkeerservices, maar de meesten bieden gewoon een prima dienst aan die niet onder doet voor de service van Schiphol zelf maar wel de helft goedkoper is.

acst @Frij5fd • 15 januari 2017 18:39

Onzin en mijn bron is de (openbare) jaarrekening...

http://www.jaarverslagsch...rliesrekening/netto-omzet

xalvo @acst • 16 januari 2017 05:01

Fijn dat je met een bronvermelding komt, maar verwijzen naar omzet waar over winst gesproken wordt zegt niet heel veel

De kans dat het de grootste inkomsten bron is lijkt mij ook klein, aangezien de winst van Schiphol circa drie keer de omzet uit parkeren is. Maar het is wellicht een zeer winstgevend onderdeel met lage laten kosten.

Frij5fd @xalvo • 27 januari 2017 19:25

Inside information. Sorry

Darkstriker @Mr_gadget • 15 januari 2017 20:19

Ik vind het ironisch hoe bij sommige onderwerpen hier de overheid continue wordt beschuldigt van betutteling, maar als het gaat om het feit dat mensen te dom zijn om prive-gegevens niet openbaar te maken, dan moet het ineens via regelgeving, certificatie en is ineens de burger totaal niet meer mondig en moet iemand anders het maar eens compleet regelen.

Blokker_1999

Datalek
Netwerk en systeembeheer
Nederland

@elwais • 15 januari 2017 14:55

Er is helemaal geen nood aan gecertificeerde eisen. De eisen die de wetgever stelt mbt bescherming van de persoonlijke levenssfeer zouden reeds voldoende moeten zijn. Je kan er vandaag wel zelf voor kiezen om aan bepaalde normen te voldoen. Maar zelfs de audits daarop vormen geen garantie dat het nooit misloopt.

Sixie @elwais • 16 januari 2017 10:02

kijk maar op KLM.com, ze maak gebruik van een 4 cijfer PIN als jou wachtwoord.... en deze is niet te veranderen naar een iets complexer wachtwoord....

PolarBear 15 januari 2017 14:26

Er zijn hier twee problemen:

1. Dat het veranderen van een URL andere reserveringen laat zien. Dat is geen lek maar nalatigheid.
2. Dat op basis van een printje auto's worden meegegeven. Aangezien dit op het vliegveld is, is even een ID vragen natuurlijk simpel. Of gewoon rijbewijs, ook geen gekke vraag als je je auto komt halen.

[Reactie gewijzigd door PolarBear op 23 juli 2024 20:06]

Blokker_1999

Datalek
Netwerk en systeembeheer
Nederland

@PolarBear • 15 januari 2017 14:52

Mijn rijbewijs heb ik zelf niet op zak. Dat ligt bij mij in de auto ... . Gewoon ID zou moeten volstaan. Heb je toch nodig of je kan niet eens op je vliegtuig geraken (tenzij je uiteraard niet zelf vliegt).

ACM Software Architect @Blokker_1999 • 15 januari 2017 16:10

Als je binnen de Schengen-zone vliegt hoef je je niet te identifeceren hoor. Zeker niet als je vooraf al via Internet inchecked, dan word je overal doorgelaten zonder dat je dat wat hoeft te tonen. Dat was in ieder geval mijn ervaring afgelopen November. Ironisch genoeg moest ik 'm op de terugvlucht, bij een minder geavanceerd vliegveld wel iets van drie keer laten zien...

[Reactie gewijzigd door ACM op 23 juli 2024 20:06]

dj__jg @ACM • 15 januari 2017 16:22

Maar je moet wel sws je ID-kaart bij je hebben

edit: of rijbewijs of paspoort natuurlijk

[Reactie gewijzigd door dj__jg op 23 juli 2024 20:06]

ACM Software Architect @dj__jg • 15 januari 2017 16:31

In het buitenland paspoort of europese identiteitskaart. Rijbewijs is daar niet geldig als identiteitsbewijs.

Maar dat je het bij je moet hebben, wordt dus niet gechecked op het vliegveld.

Unimproved @ACM • 15 januari 2017 16:46

Het is niet verplicht om te reizen, maar sommige luchtvaartmaatschappijen controleren wel om na te gaan of jouw naam ook op de tickets staat.

ACM Software Architect @Unimproved • 15 januari 2017 16:48

Dat kan, sowieso gebeurt dat bij het inchecken op de luchthaven. Maar als je reeds via internet hebt ingechecked kan je zo doorlopen tot het in het vliegtuig, in ieder geval bij Transavia.

Op de terugvlucht was er niet via Internet in te checken en was er idd paspoortcontrole bij de incheckbalie, daarna bij de douane en nog bij het instappen.

Unimproved @ACM • 15 januari 2017 17:02

KLM-AF doet er volgens mij niet aan op Schiphol, maar veel LCCs wel. Bij het instappen lekker veel vertraging omdat iedereen z'n ID weer uit een tas moet graaien,

dj__jg @ACM • 15 januari 2017 16:45

Ohja, dat van het rijbewijs was ik even vergeten. Begrijp dat ID niet gecontroleerd wordt op het vliegveld soms, maar aangezien je toch altijd een ID-bewijs bij je moet hebben moet kunnen tonen maakt dat niet echt uit. Die 90 euro extra voor het niet kunnen tonen van een ID hoef ik er niet bij hebben als ik een keer te snel over een spoorwegovergang loop

[Reactie gewijzigd door dj__jg op 23 juli 2024 20:06]

Heedless @dj__jg • 15 januari 2017 17:08

Oftopic, maar een rijbewijs is alleen een geldig ID binnen Nederland. Daarbuiten moet je, afhankelijk van het land een ID kaart of paspoort hebben.

Edit: oud nieuws; refreshen voordat ik iets post

[Reactie gewijzigd door Heedless op 23 juli 2024 20:06]

kielkiel @Heedless • 15 januari 2017 19:32

Is dat zo? Ik heb het idee dat een rijbewijs gedoogd wordt als ID. In de wet wordt alleen het paspoort en identiteitskaart als officieel ID gezien.

LaMaZitten @kielkiel • 15 januari 2017 20:12

Voor een groot aantal zaken is het rijbewijs 'gewoon' geldig als identificatiebewijs. Dat heeft niks met gedogen te maken. Echter, omdat op het rijbewijs geen gegevens staan m.b.t. nationaliteit/verblijfsstatus is het in sommige gevallen niet geschikt. In die gevallen volstaat enkel een paspoort of Europese ID-kaart.

bron: Rijksoverheid.nl

bytemaster460 @Heedless • 15 januari 2017 20:12

In Nederland is het rijbewijs ook geen officieel ID-bewijs. Het wordt wel door veel instanties als zodanig geaccepteerd, maar een instantie kan een officiële ID eisen en het rijbewijs weigeren.

LaMaZitten @bytemaster460 • 15 januari 2017 20:15

Dat is niet helemaal correct, zie ook mijn reactie hierboven.

bytemaster460 @LaMaZitten • 15 januari 2017 20:19

Dank! Gevalletje klok en klepel

bytemaster460 @ACM • 15 januari 2017 20:11

Heb zelf nog nooit meegemaakt dat ik mijn paspoort niet hoefde te tonen en heb toch heel wat vluchten meegemaakt sinds Schengen.

Fuzzillogic @Blokker_1999 • 15 januari 2017 15:01

Dus, je laat je rijbewijs achter in een auto die je vervolgens door een onbekende laat parkeren? Over nalatigheid gesproken…

PolarBear @Blokker_1999 • 15 januari 2017 15:09

Dat zeg ik toch ID of rijbewijs? Waarbij beide logisch zijn omdat je ze nodig hebt als je met de auto naar het vliegveld gaat om op reis te gaan.

Overigens ken ik, sinds de rijbewijzen op creditcard formaat, niemand die z'n rijbewijs in de auto laat liggen, maar goed dat is N=1.

Anoniem: 861611 @Blokker_1999 • 15 januari 2017 17:02

En u staat in de karmalijst beheer en beveiliging? Pijnlijk, heel pijnlijk.

Wim-Bart @Blokker_1999 • 15 januari 2017 15:35

Steekje los. Dus als ze inbreken in je auto of je auto naar Polen verschepen ga je ook klagen als ze identiteitsdiefstal plegen.

Man denk even na. Hoe stom kan je zijn.

Jerie

@Wim-Bart • 15 januari 2017 16:51

Je zegt het misschien niet vriendelijk maar je hebt wel degelijk een punt. Je moet niets van waarde (direct of indirect) achterlaten in je auto. Dus ook niet je rijbewijs. Dat geldt wanneer je voor relatief langere tijd niet bij je auto bent (dus bijvoorbeeld een reis, via bijv Schiphol). Ik zelf ben om deze reden een voorstander van het OV. Maar ik heb dan ook een bijzonder goede, directe verbinding met Schiphol. YMMV.

Wim-Bart @Jerie • 15 januari 2017 17:00

Ja ik had het wat genuanceerder kunnen uitdrukken. Maar ik word gewoon boos als ik dit soort dingen lees. Mensen zijn tegenwoordig zo makkelijk dat je je afvraagt hoe lang het nog goed gaat in onze maatschappij.

Marcel Br @Blokker_1999 • 16 januari 2017 08:42

Mijn rijbewijs heb ik zelf niet op zak. Dat ligt bij mij in de auto

jongetje

@Blokker_1999 • 16 januari 2017 10:53

Als je je auto afgeeft dan heb je toch automatisch je rijbewijs bij je?

Los daarvan zou ik mijn rijbewijs niet in mijn auto laten liggen, zeker niet als ik hem bij een 3de partij achterlaat.

begintmeta @PolarBear • 15 januari 2017 14:54

'1. Dat het veranderen van een URL andere reserveringen laat zien. Dat is geen lek maar nalatigheid.'
Het gevolg van de nalatigheid is wel een lek, de facto zelfs, niet eens slechts fictief, want daardoor zijn onbedoeld persoonsgegevens vrijgekomen.

Dat ik de plank in de huid van de sloep niet heb vastgeschoeft was een nalatigheid, het werd pas een lek toen water langs de losse plank naarbinnenstroomde. Het klopt uiteraard wel

[Reactie gewijzigd door begintmeta op 23 juli 2024 20:06]

PolarBear @begintmeta • 15 januari 2017 15:12

Je hebt als je heel sec naar de Nederlandse taal kijkt gelijk, maar wat belangrijk is om in dit soort zaken de nadruk leggen op de nalatigheid van dergelijke bedrijven om hun beveiliging op een basis niveau te hebben.

begintmeta @PolarBear • 15 januari 2017 16:14

Ik snap het punt dat je wil maken, maar dan is 'nalatigheid' toch veel te zwak uitgedrukt vind ik, tenslotte doen ze niet alleen niet wat ze eigenlijk zouden moeten doen, ze doen zelfs iets wat ze eigenlijk niet zouden moeten doen. Het lek volgt niet alleen uit iets wat ten onrechte niet wrodt gedaan, het lek is een gevolg van een foute daad.

Oerdond3r @PolarBear • 15 januari 2017 15:02

Veel lekken van grote websites die ik op Tweakers lees zijn gevolg van nalatigheid. SQL injectie is er ook een van. Misschien onwetendheid aan de software developer kant maar dat kan ook gezien worden als nalatigheid om zich te verdiepen in (zo nu en dan eenvoudig te implementeren) veiligheidsoplossingen.

eborn @Oerdond3r • 15 januari 2017 20:46

Dit heeft zo te lezen weinig met sql injectie te maken maar alles met het niet controleren van de ingelegde gebruiker i.c.m. de gekozen boeking.

Dennisdn @PolarBear • 15 januari 2017 15:13

Je auto afgeven aan een dergelijk bedrijf is sowieso al nalatigheid. Ongelofelijk hoe weinig voor onderzoek mensen doen als ze iets boeken. Internet staat vol ellende over deze bedrijven en er zijn al heel wat consumentenprogrammas geweest die bijvoorbeeld trackers onder de auto's hebben geplaatst en aangetoond wat er allemaal mee gebeurd. Sowieso hebben ze geen eigen parkeerplaatsen en parkeren ze alles op industrieterreinen langs de openbare weg. Als ze er zelf geen 600 km mee rijden.

Voor leaseauto's is het zelfs verboden je sleutels af te geven en iemand anders te laten rijden.

[Reactie gewijzigd door Dennisdn op 23 juli 2024 20:06]

bytemaster460 @Dennisdn • 15 januari 2017 20:15

Dat doet een deel van die bedrijven. De grote meerderheid levert gewoon een prima dienst. Maar inderdaad, eerst even goed checken voordat je een reservering plaatst is niet overbodig.

Anoniem: 873017 @PolarBear • 16 januari 2017 11:17

Helemaal mee akkoord alhoewel je het zien van gegevens na het veranderen van de URL wel wat als "beveiligingslek" kunt zien. Het dan niet eens vragen om een ID maakt het plaatje echt volledig.
Een typische mix van zwakke beveiliging en nalatigheid. Zie ik dagelijks in de IT beveiligingssector.

The Underminer 15 januari 2017 14:06

Ik neem aan dat er wel een gehackte autosleutel voor nodig was, of bewaart het parkeerbedrijf ook je sleutel zodat je die niet op reis kwijtraakt?

fsfikke @The Underminer • 15 januari 2017 14:09

Ja want zij parkeren de auto's en moeten de auto's soms verzetten (of ermee naar de Mac rijden en wat boetes incasseren: http://www.telegraaf.nl/v...op_Schiphol__.html?page=2)

Blokker_1999

Datalek
Netwerk en systeembeheer
Nederland

@The Underminer • 15 januari 2017 14:09

Dat was ik me ook aan het afvragen. Wat wel kan zijn natuurlijk is dat zij je wagen aan het luchthavengebouw afhalen en voor je parkeren (en dus de sleutel bewaren tot terugkomst). Wel een misser dat er sowieso geen random url werd gebruikt, nog dat er verificatie van de identeit werd gedaan.

Dyna20 @The Underminer • 15 januari 2017 14:10

Valet parking. Ze halen je auto op bij Schiphol en brengen die ook weer terug bij terugkomst op Schiphol. Vandaar dat ze je sleutel hebben.

RocketKoen @The Underminer • 15 januari 2017 14:11

VIP Parking is een valet dienst.
Je levert je auto in bij de ingang van Schiphol. Iemand van het bedrijf parkeert hem dan voor je (10km verderop). En als je weer aankomt zorgen ze dat je auto weer voor de deur van Schiphol klaar staat.

Tenzij dus iemand anders 5 minuten eerder met jouw reservering je auto heeft opgehaald.

Get!em @The Underminer • 15 januari 2017 14:13

Dat laatste. Er zijn veel ondernemertjes die proberen te profiteren van Schiphol. Niet alle daarvan zijn even fris, zoals uit verleden is gebleken. Ze huren een braakliggend terrein af of een parkeerplaats bij een leegstaand kantoorpand in Hoofddorp. Vervolgens klussen ze snel en goedkoop een website. Elk daarvan verzint zijn eigen voorwaarden. Vaak is 1 ervan dat ze de sleutel willen hebben. Mede omdat ze dan de auto's kunnen verplaatsen, bijv als ze van terrein moeten wisselen.

WaterFire @Get!em • 15 januari 2017 14:28

Elk daarvan verzint zijn eigen voorwaarden. Vaak is 1 ervan dat ze de sleutel willen hebben.

Dat is toch wel de essentie van valet parking. Je schrijft het hier alsof het een boevenstreek is dat ze om je sleutel vragen?

Get!em @WaterFire • 15 januari 2017 17:11

Het is niet altijd valet parking, terwijl ze toch om je sleutel vragen. Puur voor verhuizen van je auto tussen parkeerterreinen. Als het om prijs en kosten gaat is er veel mogelijk daar. Goedkoopste? ; verhuisd je auto gerust naar een parkeer terrein bij de veilinghallen of zelfs de Kwakel.
Ik zie T regelmatig.

VNA9216 @Get!em • 15 januari 2017 14:49

En soms verhuren ze de auto's gewoon door. Een collega kreeg zn auto na 3 weken vakantie met dik 3500 KM extra op de teller terug

mae-t.net @VNA9216 • 16 januari 2017 01:29

Als hij dat kan aantonen kan hij daar voor de rechter een mooi centje voor vangen.

Anoniem: 145867 @mae-t.net • 16 januari 2017 07:26

Als die procedure al niet meer kost ... Gelukkig hebben moderne wat duurdere auto's allemaal GPS trackers zoals de Tesla Model S. Gewoon bijhouden wat er gebeurt met je auto. Verzekering technisch zeer handig als je zelf niet fout bent geweest.

[Reactie gewijzigd door Anoniem: 145867 op 23 juli 2024 20:06]

VNA9216 @mae-t.net • 16 januari 2017 10:48

Het was jaren terug (2009 ofzo) en omdat hij er verder geen gedonder mee heeft gehad heeft hij het er maar bij laten zitten omdat het anders zo'n "welles, nietes" spelletje zou worden. Maar hij had op het internet gezocht of er meer mensen waren die er bij dat bedrijf tegenaan waren gelopen, en daar kwamen zelfs klachten binnen van mensen die boetes op de mat kregen voor de periode dat ze op vakantie waren. Dan sta je gelijk een stuk sterker natuurlijk als je een zaak tegen zo'n bedrijf wil beginnen.

Anyway, hij raadde in ieder geval collega's af om gebruik te maken van dit soort diensten, en om in ieder geval bij het afleveren foto's te maken van de KM stand, en de tellerstand op papier ondertekend vast te leggen
Hij had bijv 100KM nog redelijk gevonden voor het wegzetten, en misschien tussentijds een paar keer verplaatsen, maar dit was gewoon misbruik maken van zn wagen.

TheDudez 15 januari 2017 14:01

En hebben ze het data lek ook gemeld bij de juiste instantie?

mc_maarten @TheDudez • 15 januari 2017 14:15

En hebben ze het data lek ook gemeld bij de juiste instantie?

De baas van het parkeerbedrijf heeft contact gehad met autoriteit persoonsgegevens. Omdat het gaat om een beveiligingslek en niet om een datalek is er geen meldplicht bij autoriteit persoonsgegevens en zijn klanten. Wel heeft het bedrijf zijn klanten op de hoogte gebracht.

Volgens https://autoriteitpersoon...ldplicht_datalekken_0.pdf is er spraken van een datalek als:

1) Er bij de inbreuk persoonsgegevens verloren gegaan
2) Er redelijkerwijs uitgesloten worden dat er persoonsgegevens onrechtmatig zijn verwerkt

Kassa heeft geen persoonsgegevens verwerkt en het is niet aantoonbaar dat persoonsgegevens onrechtmatig zijn verwerkt.

dit is mijn uitspraak en daar zult u het mee moeten doen!

[Reactie gewijzigd door mc_maarten op 23 juli 2024 20:06]

begintmeta @mc_maarten • 15 januari 2017 14:34

'Omdat het gaat om een beveiligingslek en niet om een datalek'
Dat kan ik niet helemaal volgen, er zijn toch onbedoeld persoonsgegevens vrijgekomen?

mc_maarten @begintmeta • 15 januari 2017 15:28

Ja, dat dacht ik ook. In het filmpje van kassa(op ca. 10min) doet de eigenaar deze bewering. Wat ik denk is dat er geen aanwijzing zijn dat er data gelekt is.

begintmeta @mc_maarten • 15 januari 2017 16:11

Er zijn in feite gegevens gelekt, tenminste aan Kassa. Of ook aan anderen gegevens zijn gelekt, is onbekend, maar tenminste aan een partij wel, dus is niet te ontkennen dat gegevens gelekt zijn.

mc_maarten @begintmeta • 15 januari 2017 21:16

Persoonlijk vind ik ook dat hier meldt plicht op moet zitten. Je kunt nooit weten of er daadwerkelijk gegevens gelekt zijn, het kan namelijk dat klanten hier indirect last van kunnen hebben, zoals inbraak, spam, phishing mails of iets dergelijks.

kwikstaart @mc_maarten • 16 januari 2017 09:20

Er is wel degelijk data gelekt. De ontdekker van dit lek heeft het immers moeten testen, net als Kassa. Dat beide te goeder trouw zijn doet niet ter zake.

mc_maarten @kwikstaart • 16 januari 2017 15:49

voor een datalek moet het aan één van de voorwaarden voldoen:

1) Er bij de inbreuk persoonsgegevens verloren gegaan
2) Er redelijkerwijs uitgesloten worden dat er persoonsgegevens onrechtmatig zijn verwerkt

geen gegevens zijn verloren gegaan, kasa is een ethische hacker. Het is niet aantoonbaar dat er persoonsgegevens onrechtmatig zijn verwerkt.

bron: https://autoriteitpersoon...ldplicht_datalekken_0.pdf

begintmeta @mc_maarten • 16 januari 2017 19:00

In het document dat je aanhaalt wordt het niet redelijkerwijs kunnen uitsluiten van onrechtmatige verwerking eigenlijk gelijkgesteld aan onrechtmatige verwerking (zie o.a. het stroomschema op pagina 4, de tekst op pagina 5 en verder). In dit geval is redelijkerwijs niet uit te sluiten dat gegevens onrechtmatig zijn verwerkt.

madcow22 @begintmeta • 15 januari 2017 23:49

Er zat geen meldplicht op omdat het beperkte gebruikers gegevens ging viel het niet onder de data lek wetgeving.

Wim-Bart @mc_maarten • 15 januari 2017 15:28

Het is gewoon een data lek. Er lekken persoonsgegevens. Sterker nog er lekken persoonsgegevens met nog meer cruciale informatie met verstrekkende gevolgen.

Ze zouden je huis ook maar even leeghalen met die gegevens...

FreshMaker @Wim-Bart • 15 januari 2017 16:55

Ze zouden je huis ook maar even leeghalen met die gegevens...

Mijn idee,
Als onze centralisten een buurman spreken bij inbraakmeldingen, die dan aangeeft te gaan kijken omdat de auto al terug is, gaat men ervan uit ook echt de bewoner te spreken.
Niet een bivakmuts met geleende sleutel

Anoniem: 857639 @mc_maarten • 15 januari 2017 14:22

Had hij een keuze dan?
Stel jij brengt niet zelf je klanten op de hoogte, maar een TV programma doet dit echter wel... dan ben jij niet bijster slim bezig.

Wildfire

@TheDudez • 15 januari 2017 14:07

Was gisteren in Kassa te zien, de eigenaar van de bedrijven heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

TunefulDJ_Mike @TheDudez • 15 januari 2017 14:07

In de uitzending werd aangegeven door de directeur van het bedrijf dat het is aangegeven bij de authoriteit persoonsgegevens.

wildhagen

Nederland
Datalek

15 januari 2017 14:04

Dit is een wel heel erg grote blunder zeg, dat zoiets anno 2017 nog kan.... deze methode was in de jaren 90 al niet veilig meer, laat staan in deze tijd.

Is ook bekend hoeveel mensen hiermee hun auto zijn verloren, en krijgen de slachtoffers van dit lek hun schade op een of andere manier nog vergoed?

Wildfire

@wildhagen • 15 januari 2017 14:08

Ik denk niet dat er actief misbruik is gemaakt van het lek. Iemand die z'n auto kwijt is geraakt had allang aan de bel getrokken.

Blokker_1999

Datalek
Netwerk en systeembeheer
Nederland

@Wildfire • 15 januari 2017 14:15

Van 1 enkele keer ga je niet aan de bel trekken. Je weet niet hoe het komt. Als er nu dagelijks meerdere mensen komen melden dat hun wagen verdwenen was, dan was het iets anders.

Of nog: het hoeft niet eens de auto zijn die verdwenen is. Als inbrekersbende heb je ineens ook een grote lijst van mensen waarvan je weet dat de kans groot is dat er niemand thuis is.

Anoniem: 310408 @Blokker_1999 • 15 januari 2017 15:31

Van 1 enkele keer ga je niet aan de bel trekken.

Uh als mijn auto uit valet gestolen word ga ik toch echt even praten met ze hoor. Voor zover bekend was er geen misbruik gemaakt en waren er geen grote hoeveelheden data gestolen (het was geen server hack tenslotte). De ondernemen kwam het prima uitleggen, vertelde hoe het lek gedicht was, hoe medewerkers opnieuw geïnstrueerd zijn en hoe hij de autoriteit en gebruikers op de hoogte gesteld zijn. Dus een vervelend probleem maar keurig opgelost.

Ik maak al minstens twintig jaar gebruik van valet services, met groot plezier. Het is een fijne luxe om na een reis van 12 uur binnen een paar minuten in je auto te zitten. De betere services leveren de auto keurig gewassen aan je af op. De laatste keer kwam mijn Tesla zelfs opgeladen voorrijden.

Dennisdn @Anoniem: 310408 • 15 januari 2017 16:28

Natuurlijk was die opgeladen, die sprinttijden hebben ze vast even getest.
Is de Teasla van jezelf of een leaseauto? In het laatste geval speel je met vuur. Leaseauto's zijn bijzonder verzekerd en zijn alleen verzekerd als je er zelf bij in zit óf de bestuurder is ingeschreven op jouw woonadres. Een collega van mij moest de schade, veroorzaakt door een hotelvalet van een 5-sterrenhotel, uiteindelijk na heel wat zaken zelf betalen.

Ik vlieg zelf wekelijks vanaf Schiphol en voor geen goud dat ik de sleutels af geef. Voordat ik een priviumplek had en toen P1 en P2 al in verbouwing waren parkeerde ik altijd op P3. Dat is tegenwoordig allemaal zo perfect geregeld dat het hooguit 10 minuten extra kost, zeker met de nieuwe parkeergarage daar. Die 10 minuten is mij de gemoedsrust van een veilige parkeerplek wel waard.

ninjazx9r98 @Dennisdn • 16 januari 2017 11:29

Spelen met vuur als het om een leaseauto gaat is wel heel erg kort door de bocht en afhankelijk van de lease maatschappij. Bij ons is het toegestaan om valet parking te gebruiken. Ik weet niet of er een meldplicht is dat je er gebruik van gaat maken maar de collega's die er gebruik van maken bellen altijd even met de lease maatschappij om toestemming te vragen en krijgen die probleemloos.

Dennisdn @ninjazx9r98 • 16 januari 2017 13:33

Uiteraard is het met schriftelijke toestemming prima geregeld. Bij alleen mondelinge toestemming van een medewerker leasemaatschappij zou ik het risico nog steeds niet nemen.

MaD_co @wildhagen • 15 januari 2017 15:08

kunnen natuurlijk wel mooi rondsnuffelen wat voor dikke auto's er staan en bijbehorend adres opzoeken.
daarn enkel op bestelling "ophalen" bij de mensen thuis als ze terug zijn.
parkeer garage hangt vol camera's, dus zullen ze daar niet snel meerdere keren terugkomen om auto's te jatten

jpsch @MaD_co • 15 januari 2017 15:28

Parkeergarage? Veel worden gewoon in woonwijken geparkeerd.

MaD_co @jpsch • 15 januari 2017 20:22

maar dat zijn niet de personen waar het over gaat

artikel gaat over de mensen die betaald hun auto parkeren op een terrein/in een parkeergarage, welke wordt gefaciliteerd door schiphol parking solutions, waarvan kwaadwillenden de gegevens via internet konden benaderen.

degene die in de woonwijken parkeren hebben zich nergens aangemeld, waardoor hun gegevens ook niet kunnen lekken

jpsch @MaD_co • 15 januari 2017 22:22

In de woonwijken door de parkingbedrijven. Daar moet je je echt wel aanmelden. Woonwijken zijn ook niet op loopafstand van Schiphol.

mae-t.net @jpsch • 16 januari 2017 01:28

Dat soort bedrijven huurt doorgaans loodsen en terreinen op boerengrond in de omgeving, dus maakt geen gebruik van plekken in woonwijken (veel grotere kans op schades dus zou al slecht zijn voor hun reputatie).

Aanvulling: er schijnen inderdaad bedrijven te zijn die ook elders (wild)parkeerden of -parkeren. Kennelijk een groot verschil tussen de betrouwbare en onbetrouwbare marktpartijen.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 20:06]

Patjebreda @MaD_co • 15 januari 2017 22:51

In het artikel staat niks over "Schiphol parking solutions" en als je de aflevering gezien hebt weet je ook dat het over een andere onderneming gaat.

TunefulDJ_Mike @wildhagen • 15 januari 2017 14:08

Voor zover bekend waren er geen slachtoffers als in gestolen auto's.

Anoniem: 857639 @wildhagen • 15 januari 2017 14:19

Dat is moeilijk na te gaan, het was echter gigantisch makkelijk om zonder ID de auto mee te krijgen.

Anoniem: 855731 15 januari 2017 15:24

Er zijn overigens eenvoudigere manieren om auto's te jatten: kijk 's ochtend wie z'n auto bij een garage brengt voor onderhoud, houdt de boel een beetje in de gaten en ga om 5 uur 's middags een auto halen die nog niet is opgehaald. Je hoeft alleen maar het kenteken te noemen en je krijgt de sleutels mee. Desnoods betaal je de rekening van een paar honderd euro (contant), maar vaak gaat het op rekening of de rekening gaat naar de leasemaatschappij.

Dennisdn @Anoniem: 855731 • 15 januari 2017 16:11

Het kan nog veel makkelijker. Mijn moeder werkt bij een merkdealer. Hadden een paar weken geleden een leuke casus.
Proefrit. Paspoort achtergelaten natuurlijk. Tot zover allemaal prima. Aan het einde van de dag komt die mijnheer weer het terrein op lopen met de mededeling dat hij de auto onderweg heeft verloren en dus is kwijt geraakt.
In plaats van de lokale politie kwam er een rechercheur van ander korps die deze heer al onder de aandacht hebben. "U moet deze mijnheer zijn paspoort terug geven. Iets verliezen is niet strafbaar. Deze heer heeft de maas in de wet ontdekt".

[Reactie gewijzigd door Dennisdn op 23 juli 2024 20:06]

ACM Software Architect @Dennisdn • 15 januari 2017 16:44

Het is wel lastig om een auto "onderweg te verliezen". Het is niet alsof die ineens uit je handen kan waaien en dat je 'm dan niet meer kan vangen ofzo.

Ik kan me niet voorstellen dat die dealer daar niet een zaak van maakt, dat hoeft natuurlijk niet per se strafrechtelijk. Als het niet de eerste keer was (waarom werd ie anders door die rechercheur in de gaten gehouden?), dan wordt opzet of grove nalatigheid al heel waarschijnlijk en een onrechtmatige daad is dan snel bewezen.

En ongeacht of het strafrechtelijk kwalijk kan - waar die rechercheur iets over kan zeggen - lijkt me een onrechtmatige daad dan ook snel bewezen. En daar is niet echt een 'maas in de wet', daar is dat veel te generiek voor geformuleerd.

Dat het paspoort niet door de dealer gehouden mag worden lijkt me verder logisch. Daar is geen juridische basis voor en is waarschijnlijk zelfs strafbaar.

[Reactie gewijzigd door ACM op 23 juli 2024 20:06]

Dennisdn @ACM • 15 januari 2017 18:19

Natuurlijk, de zaak is hiermee ook nog niet afgedaan. Maar vooralsnog wordt het een onderlinge zaak en geen strafzaak. Die auto is vast dezelfde dag nog gestript of het naar buitenland gebracht en het zal wel uit gaan komen op een kale kip.

kdeboois

@ACM • 15 januari 2017 18:26

Ze konden hem wel even snel verliezen.

Carbon @Dennisdn • 15 januari 2017 17:27

In plaats van de lokale politie kwam er een rechercheur van ander korps die deze heer al onder de aandacht hebben. "U moet deze mijnheer zijn paspoort terug geven. Iets verliezen is niet strafbaar. D.

Tip voor het garagebedrijf: een paspoort kun je ook verliezen!

Lenny77 @Carbon • 16 januari 2017 07:02

Mja, dan heb je alleen een groter probleem, want je mocht het paspoort initiëel al niet eens als onderpand achterhouden...

TWyk @Dennisdn • 16 januari 2017 10:22

"Oops, Ik ben heel toevallig zijn paspoort ook kwijtgeraakt"

Je gaat zo'n gast natuurlijk niet zijn paspoort teruggeven.

[Reactie gewijzigd door TWyk op 23 juli 2024 20:06]

totaalgeenhard 15 januari 2017 16:49

Diefstal van auto is het minste waar je je druk over moet maken.

Eerder het feit dat inbrekers een tool hebben om te zien welke adressen mogelijk geen bewoner heeft.

mjl @totaalgeenhard • 16 januari 2017 01:17

Nog erger: je auto gejat en de boeven daarmee je huis leeghalen. 'Maar buurman, dat was uw eigen auto...'

totaalgeenhard @mjl • 16 januari 2017 06:01

:-)

HerZon 15 januari 2017 14:39

Geeft ook een bijzonder gevoel als je tijdens je vakantie op de app elke keer een melding krijgt dat de auto ergens anders staat. Of dat hij plotseling ontgrendeld staat.

0xygen500 15 januari 2017 20:26

Hoe moet ik mij dit voorstellen? Ongeveer hetzelfde als de url veranderen met die kerstactie van tweakers?

White Feather

@0xygen500 • 16 januari 2017 08:48

In de url was het ordernummer te vinden. Als je dat veranderde in een ander nummer, kwam je op dat andere ordernummer uit. Je kon daar de andere order uitprinten en daarmee de auto halen. In combinatie met het niet vragen om legitimatie natuurlijk wachten op problemen.
Zeker omdat je ook nog eens kon bellen om te zeggen dat je eerder terug kwam van vakantie. Dan kun je in alle rust de auto van iemand anders ophalen.

0xygen500 @White Feather • 16 januari 2017 09:11

Bedankt voor het verduidelijken. Ik ben van mening dat dit toch makkelijk eruit te filteren is tijdens het testen van de website.

fluppie007 15 januari 2017 23:00

Hopelijk zal de GDPR er voor zorgen dat bedrijven klantgegevens serieus beginnen te nemen.
http://ec.europa.eu/justi...ction/reform/index_en.htm

http://www.vanroey.be/security#GDPR

Op dit item kan niet meer gereageerd worden.

Lek in site parkeerbedrijf bij Schiphol faciliteerde diefstal gegevens en auto's

Lees meer

IT-banen

Reacties (106)

Sorteer op:

Weergave: