Translink ziet inzien saldo met willekeurig ov-chipkaartnummer niet als probleem

Translink vindt niet dat er een probleem is als mensen via zijn online saldochecker het saldo van willekeurige ov-chipkaartnummers kunnen opvragen zonder authenticatie. Onderzoeker Loran Kloeze ontdekte dat dit mogelijk was via de ov-chipkaartsite.

Translink antwoordt op vragen van Tweakers dat een saldo niet herleidbaar is naar een persoon en dat er daarom geen probleem is. De woordvoerder zegt dat mensen snel hun saldo moeten kunnen controleren, maar dat daarbij 'de privacy wel moet kloppen'. Naar aanleiding van vragen heeft hij intern 'een lichtje opgestoken' over de kwestie, maar daaruit kwam niet naar voren dat dit als problematisch wordt gezien.

Tweakers deelde de bevindingen van beveiligingsonderzoeker Loran Kloeze met het bedrijf. Die schrijft in een blogpost dat het zonder authenticatie mogelijk is om het saldo van een ov-chipkaart via de onlinedienst op te vragen. Daar is naast het huidige saldo ook de laatste bijwerkdatum te zien. Kloeze stelt dat het redelijk eenvoudig is om een kaartnummer te achterhalen, omdat iedereen in het openbaar in- en uitcheckt. Hij suggereert het invoeren van een aanvullende authenticatiestap.

Jurist Arnoud Engelfriet publiceerde dinsdag een eigen bericht waarin hij zijn mening geeft over de situatie. Volgens hem bestaat er geen twijfel dat er sprake is van een datalek, omdat het saldo op een persoonsgebonden kaart gezien moet worden als persoonsgegeven. Dat zou komen omdat de kaart op naam staat, waardoor 'de gegevens die met de kaart samenhangen persoonsgegevens zijn'.

Of er daadwerkelijk sprake is van een datalek heeft Tweakers aan de Autoriteit Persoonsgegevens gevraagd, die het uitzoekt. Op zijn site geeft de organisatie een definitie van een datalek, waarin ook staat vermeld dat dit aan de orde is als het vrijkomen van data niet de bedoeling van het bedrijf was. Kloeze schrijft bovendien dat het via de NS-site mogelijk is om via een ov-chipkaartnummer de bijbehorende geboortedatum te achterhalen. Translink zegt dat dit bij de NS ligt. Tweakers heeft vragen aan het bedrijf gesteld.

Update, 14:51: De NS heeft laten weten zijn bestelformulier dinsdagmiddag aan te passen zodat gebruikers zelf hun geboortedatum moeten invullen. Het bedrijf heeft daarnaast melding gemaakt bij de Autoriteit Persoonsgegevens. Klanten hebben 'geen nadelige gevolgen ondervonden', aldus de NS.

Update, 15:31: De Autoriteit Persoonsgegevens wil in een reactie niet zeggen of er in dit geval sprake is van een datalek, maar verwijst naar de algemene regels voor datalekken. De toezichthouder zegt bovendien nooit commentaar te geven op een lopend onderzoek of op mogelijk nog uit te voeren onderzoeken.

IT-banen

Reacties (118)

SanderWind 19 december 2017 14:05

Nadat ik dit had gelezen toch eens wat onderzoek gedaan op de ov-chipkaart.nl website. Tot mijn verbazing is er via een cURL request veel meer in te zien dan alleen het saldo; einddatum, type kaart, geboortedatum, automatisch opladen, actief / inactief en datum van laatste gebruik.

Overigens is deze request aan te roepen zonder ingelogd te hoeven zijn...

Met de data verkregen uit deze request is er ineens veel meer mogelijk. Tijdens het koppelen van een willekeurige kaart wordt tijdens dit proces ook het gekoppelde e-mailadres gedeeltelijk zichtbaar wordt; xx***@domein.nl.

Deze bevindingen zijn al uitgelegd en gemeld aan Tweakers & Translink

Ge Someone @SanderWind • 19 december 2017 16:14

Er was dan ook nog het probleem dat je willekeurige kaarten, waar nog geen account aan gekoppeld was, aan je eigen account kon toevoegen. Dan zag je gewoon alles, incl reishistorie. (weet niet of dat opgelost is).

SanderWind @Ge Someone • 19 december 2017 16:30

Bij anonieme kaarten zal dit denk ik nog wel mogelijk zijn, aangezien deze ook uit een willekeurige machine op een station gehaald kan worden. Bij persoonlijke kaarten hebben ze dit volgens mij opgelost door een koppel-code te versturen naar het e-mailadres wat aan deze kaart gekoppeld is of per post naar het geregistreerde adres.

Zou dit wel lukken (zo ver ben ik niet gegaan met testen), vraag ik me af of je vervolgens door de kaart te laten blokkeren het resterende reistegoed op je eigen rekening kan laten storten...

PCR 19 december 2017 15:18

De onderzoeker meldt zich.

Eerst: props voor @SanderWind voor het nadere onderzoek m.b.v. cUrl (zie https://tweakers.net/nieu...ction=10938705#r_10938705). Dit had ik ook al gezien maar ik heb het publiekelijk melden daarvan achterwege gelaten omdat ik twijfelde tussen het wel of niet responsible disclosen van díe informatie omdat de gewone gebruiker die info niet ziet en TLS dit niet als een feature zou zien. TLS ziet namelijk het publiekelijk kunnen opvragen van het saldo wel als een feature. Hoe dan ook, goed dat @SanderWind het aanstipt want dit zou in mijn optiek ook beter achter een authenticated wall kunnen zitten.

Verder, dit is een typisch voorbeeld van iets wat al een tijdje op deze manier werkt maar waar even iemand een keer moet denken 'wat nu als ik dít invoer' zonder direct te jagen op vulnerabilities met de bekende sql-injectes etc. Dat was mijn opzet ook niet, mijn bedoeling was om te testen of er sprake is van authenticatie en dat bleek dus niet het geval te zijn. Het is ook niet een technische fout maar meer een procedurele fout. Zelf heb ik het overigens niet definitief een datalek willen noemen totdat Arnoud Engelfriet z'n juridische kijk er op gaf.

De NS pakt het netjes op! Voor wat betreft TLS denk ik dat ze er eerst goed over na gaan denken. Mochten ze dit niet gaan aanpassen dan is er wat mij betreft wel wat extra uitleg nodig waarom ze het zo willen laten. En natuurlijk, voor TLS heeft het verwijderen van dit datalek meer voeten in aarde dan voor de NS die alleen een veldje niet meer hoefden te renderen.

Verder, dank Tweakers voor het onder de aandacht brengen van dit alles!

Anoniem: 221563 19 december 2017 11:01

Concreet, wat heeft men dus?

Daar is naast het huidige saldo ook de laatste bijwerkdatum te zien.

Hmm, dus ik zou relatief makkelijk kunnen herleiden wanneer pietje allemaal gebruik maakt van het OV?

Kloeze schrijft bovendien dat het via de NS-site mogelijk is om via een ov-chipkaartnummer de bijbehorende geboortedatum te achterhalen.

En van nog onbekende mensen kan ik een profiel opbouwen.

Hmm, ja dit is wat mij betreft een datalek.

kaas-schaaf @Anoniem: 221563 • 19 december 2017 11:16

Voor de grap heb ik even het een en ander geprobeert (het bloknummer, eerste 8 cijfers, zijn voorspelbaar) en het is meteen duidelijk welke kaarten OV-jaarkaart houders zijn, zelfs zonder te zien wat de geboortedatum is.

Het rare is, dat je dit kan bij geregistreerde kaarten welke normaal een login nodig hebben voor alle transacties. Voor anonieme kaarten wil ik nog wel enigsinds inzien dat het bedrijf TLS deze keuze kan maken, maar zelfs dat is dubieus omdat de traceerbaarheid best prima is.('s ochtends aanmelden, en 25 minuten later afmelden en bij een anomalie kan je bij de vertragingssites opzoeken wel traject het is, aantal mogelijkheden gereduceerd naar < 1400).

Bovendien is het bouwen van een crawler welke bekende kaartreeksen (de 0200 reeks van de NS bijvoorbeeld) opvragen niet al te moeilijk maakt.

edit: Blijkbaar zitten er iig capcha's achter, blijft de vraag hoe wenselijk het is maar direct crawlen kan dus (nog) niet

[Reactie gewijzigd door kaas-schaaf op 27 juli 2024 02:48]

jeroenvisser101 @kaas-schaaf • 19 december 2017 13:52

OV-chipkaart nummers maken gebruik van het Luhn algoritme, dus je kunt al nummers als 'niet bestaand' markeren (waarna je nog maar een tiende overhoud van je originele lijst). Echt random is het dan niet meer. Combineer dat met Anti-Captcha diensten zoals https://anti-captcha.com en dan is Translink af.

mcDavid @kaas-schaaf • 19 december 2017 11:34

Voor een anonieme kaart is het probleem niet minder. Die worden ook 9 van de 10 keer uitsluitend door één persoon gebruikt. Zodra je iemands kaartnummer afgelezen hebt (of hier heimelijk een foto/filmpje van gemaakt hebt) kun je dus zijn/haar reistijden en (bij benadering) trajecten inzien.

Het is gewoon idioot om gegevens te melden over een kaart zonder te controleren of de opvrager die kaart daadwerkelijk in bezit heeft.

Anoniem: 392841 @kaas-schaaf • 19 december 2017 11:43

Wanneer ik het probeer werkt het zonder captchas, zonder ingelogd te zijn...

kaas-schaaf @Anoniem: 392841 • 19 december 2017 12:44

Bij het doen van requests via curl requests kwamen ze wel binnen op den duur.

edit: De headers hebben vrij duidelijk een freshness token via recaptcha van google.

[Reactie gewijzigd door kaas-schaaf op 27 juli 2024 02:48]

Peoplen @kaas-schaaf • 19 december 2017 13:20

De eerste 4 cijfers van een ov-chipkaart zijn altijd gelijk: 3528.xxxx.xxxx.xxxx Je houdt van je 8-cijferige blok dus 4 unieke cijfers over.

YopY @kaas-schaaf • 19 december 2017 11:29

Kan wel, captcha's kun je op laten lossen door een leger aan goedkope mensen.

D11 @YopY • 19 december 2017 15:34

Door de captcha's te "hergebruiken" op een andere (veelgebruikte) site, kun je dit "gratis" laten doen.

ShadowLord

@Anoniem: 221563 • 19 december 2017 11:08

En omdat afgeschreven bedragen redelijk uniek zijn voor verschillende trajecten en vervoersmethoden (trein, bus, etc) kun je ook vrij goed bepalen welke reizen gemaakt worden (zeker die van de trein).
Dus wat lekt er nu:
- Reistijden
- Trajecten
- Geboortedatum (wel via andere site, maar nog steeds problematisch)

Dit is een ernstig genoeg probleem om als datalek geclassificeerd te worden.

DeTeraarist @Anoniem: 221563 • 19 december 2017 16:05

Ik heb net een leuk 'social' spelletje bedacht! Een random nummer roepen en wie het eerst weet bij wie dat nummer hoort heeft gewonnen!

iAR 19 december 2017 11:04

Voor het random invullen van een kaartnummer is dat niet zo'n probleem, denk ik. Maar als van iemand een kaartnummer kan aflezen, dan weet ik wie die persoon is. En weet dus over zijn ov-gebruik. En als ik elke dag, of elk uur de data importeer weet ik ook hoeveel die persoon reist.
Uiteindelijk, met wat moeite, kun je wel een profiel op bouwen van iemand.

Keypunchie @iAR • 19 december 2017 11:14

Helemaal mee eens. Het is net zo schandalig als dat je in staat zou zijn om willekeurige bankrekeningnummers op te vragen.

Het ergste misschien nog wel is dat het opzetten van een authenticatie voor deze dienst absoluut niet ingewikkeld is. Gezien de lichtgewichtheid van de dienst is eenmalige 'pairing' prima te doen. Dus 1x autoriseren en dan een cookie zetten.

celshof @Keypunchie • 19 december 2017 13:28

Wat bij de Postbank/ING (obv rekeningnummer de rekeninghouder vinden) jaren gemeengoed is geweest trouwens.

Anoniem: 392841 @iAR • 19 december 2017 11:24

Erger nog, een beetje handige dief kan daarmee vervolgens proberen een inbraak op te zetten of iets dergelijks....

YopY @Anoniem: 392841 • 19 december 2017 11:28

Kun je reisgeschiedenis inzien of alleen saldo? Hoe vaak wordt die website geupdate?

Spooksel @YopY • 19 december 2017 11:42

Volgens mij is het vrij eenvoudig om een account bij NS.nl aan te maken en dan een OV kaart toe te voegen aan je account. Daar zit ook geen 2factor op, helemaal niet bij 'anonieme' kaarten in ieder geval.

Nog niet heel lang geleden was mijn vriendin een keer vergeten uit te checken en toen stuurde ze me het nummer van haar kaart door, hiermee heb ik heel eenvoudig haar kaart toegevoegd aan mijn account en daarna uitgechecked voor d'r.

Een neveneffect van zoiets doen is ook instant reisgeschiedenis kunnen inzien

Ik zou eigenlijk eens moeten kijken hoe dat is bij een geregistreerde OV kaart op naam.

[Reactie gewijzigd door Spooksel op 27 juli 2024 02:48]

supersnathan94

Datalek

@Spooksel • 19 december 2017 11:47

Die reisgeschiedenis liep vroeger echter wel 1 of 2 dagen achter. Dit omdat er 's nachts een synchronisatie ronde werd gedaan met de backen systemen van Translink. Daarom was het ook mogelijk om de OV-chipkaarten te hcaken.

xFeverr @supersnathan94 • 19 december 2017 11:53

* zolang je niet valideerde aan een apparaat wat je gegevens synchroniseert.

Volgens mij kan dat nog steeds, of zijn die apparaatjes van de conducteur en andere controlerende bevoegdheden inmiddels ook al online? Bij de bus is de data trouwens ook nog steeds 1 of 2 dagen vertraagd.

YdieresiS @xFeverr • 19 december 2017 13:22

Bij de bus is de data erg actueel, in ieder geval wel in Overijssel. De reis van vanmorgen staat nu gewoon genoteerd op de chipkaart. Hier zit geen aantal dagen vertraging in, maar lijkt vrij direct verwerkt te worden (al kan daar natuurlijk nog wel wat tijd tussen zitten, maar geen dagen).

Cowamundo @Spooksel • 19 december 2017 11:50

Daar krijg je als het goed is een bevestigingsmail met een activatielink om jouw persoonlijke ov te koppelen aan het desbetreffende account.

Alex3 @Spooksel • 19 december 2017 13:00

Om een kaart aan een account te koppelen moet je niet alleen het kaartnummer opgeven maar ook de vervaldatum. Of je een kaart aan meer dan een account kunt koppelen weet ik niet.

Anoniem: 392841 @YopY • 19 december 2017 11:33

Op de site? Geen idee hoeveel dit lek precies vrijgeeft, maar normaal gesproken als je met een gekoppelde account inlogt krijg je het saldo plus de reisgeschiedenis te zien en kan je die vervolgens exporteren.

EDIT: Ik zat even verkeerd te lezen en met een andere reactie in mijn achterhoofd. Als je de saldos weet en wie iemand is, kan je ongeveer bepalen waar iemand naartoe is gegaan door terug te gaan rekenen. Als je dat eenmaal weet, kan je ook bepalen hoe lang iemand ergens over doet. Doe dat lang genoeg, en je krijgt een ruw beeld van iemands activiteiten. Als er een herhalend patroon in zit, dan kan je daar op plannen. Daar doelde ik meer op met mijn 'inbraak' opmerking.

[Reactie gewijzigd door Anoniem: 392841 op 27 juli 2024 02:48]

Sharkoon @iAR • 19 december 2017 11:38

Je kunt ook gewoon iemand volgen, dan weet je het ook.

Anoniem: 392841 @Sharkoon • 19 december 2017 11:39

Fysiek volgen gaat op een gegeven moment zelfs de grootste dombo opvallen. Digitaal 'stalken'? Veel sterkte het op te merken, zeker als een bedrijf welke je gegevens heeft zo lankmoedig er mee omgaat.

Anoniem: 857639 @Sharkoon • 19 december 2017 12:04

Volgen is lastig, daarom als de politie iemand volgt doen zij dit met prive auto's en voldoende auto's zodat het niet opvalt.. als het 1 auto is.. dan valt dat op.. maar digitaal kan je niet zien wie er jouw OV nummer natrekt.

iAR @Sharkoon • 19 december 2017 13:44

En toch is dat wel anders. Er is immers geen derde partij die het je makkelijk maakt. Nu maakt een derde partij vanwege bepaalde keuzes het kinderlijk eenvoudig. En je kunt ook niet zeggen: weet je TransLink, ik gebruik jullie diensten niet. Want dan kun je dus niet meer met het openbaar vervoer reizen.

Brent @iAR • 19 december 2017 11:51

Anonieme kaarten hebben geen persoonspecifieke informatie, dus is het geen schending van privacy. Het is dus makkelijk op te lossen: niet-anonieme kaarten achter een inlog-muur.

cbravo2 @Brent • 19 december 2017 12:50

Jawel, ze hebben een uniek nummer per persoon. Zo zijn IP adressen ook persoonsgegevens.

Brent @cbravo2 • 19 december 2017 12:53

Het risico lopend muggen te ziften: het is een uniek nummer per pas, niet persoon. Er is geen link tussen het nummer en een persoon in het geval van de anonieme kaart.

Althans, dat impliceert het woord 'anoniem'. Wat Translink achter de schermen doet...

t link @Brent • 19 december 2017 13:21

Achter een ip zit ook geen persoon maar een kabelaansluiting. T staat uiteraard wel op iemand zn naam maar dat is alleen juridisch zo, in praktijk zit er praktisch nooit iemand in zn eentje altijd op hetzelfde ip adress. en dan is een ipadress ook nog eens vaak niet static. Als je er zo naar kijkt zijn de gegevens van deze 'anonieme' kaarten een stuk persoonlijker dan iemands ip adress, omdat die anonieme kaarten vrijwel nooit uigeleend worden, als ze dat worden is dat vrijwel altijd binnen huiselijke kring. je kan met zn tweeen 1 ip adress tegelijk gebruiken, met deze kaart lukt dat je nooit.

Brent @t link • 19 december 2017 13:23

Maar het IP staat ergens registreert en is te koppelen aan een persoon (tenminste door de ISP). Met een anonieme OV kaart is dat niet zo. Dit lijkt mij een wezenlijk verschil.

t link @Brent • 19 december 2017 13:26

Een anonieme OV kaart is ook ooit gekocht met een bankpas gekoppelt aan een persoon, zoals ik al zei is dit juridisch misschien een verschil maar in praktijk is het gewoon hetzelfde resultaat. en dat is toch waar het om gaat? hoe het in de praktijk is en niet hoe het op papier ontworpen is?

Brent @t link • 19 december 2017 13:29

Maar de informatie is in dit geval bij verschillende partijen aanwezig. Alleen de bank heeft de koppeling persoonsgegevens<>bankpas. Het verkooppunt heeft bankpas<>OV-kaartnummer (alhoewel ik bijna zeker weet dat dit niet zo is: volgend mij wordt bij verkoop van een OV kaart het kaartnummer verder niet genoteerd, hooguit kan men weten dat een batch in een periode verkocht is en die en die pasnummers er toen een aangeschaft hebben. Translink heeft enkel het OV-kaartnummer, en zou dus eerst via verkooppunt (als dat al kan) naar de bank moeten. Dat is een heel ander karakter dan een IP adres en lidmaatschapsinformatie aanwezig bij dezelfde ISP.

Niet dat ik het graag opneem voor Translink overigens, het is een walgelijk bedrijf verder, maar voor wat betreft de anonieme kaart denk ik niet dat er sprake is van persoongegevens. Slecht bij de kaarten op naam kan ik daarin meegaan.

t link @Brent • 19 december 2017 13:40

Ik pak er even het wetboek voor je bij

a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Indien het daarentegen mogelijk is de gegevens te gebruiken bij voorbeeld om fraude op te sporen, dan is er sprake van persoonsgegevens. Daarbij is niet relevant of de bedoeling de gegevens voor dat doel te gebruiken, ook aanwezig is. Er is reeds sprake van een persoonsgegeven wanneer het gegeven voor een dergelijk op de persoon gericht doel, kan worden gebruikt. (MvT, II, nr. 3, blz. 47)

https://autoriteitpersoon...-1-tm-5/artikel-1-sub-wbp
Ik zou hieruit toch echt opmaken dat het om persoonsgegevens gaat.

Brent @t link • 19 december 2017 13:42

Ik niet, want er is in dit geval geen instantie dat dit eenzijdig kan doen (de informatie is verspreid over instanties, en misschien dus niet eens te linken).

Wat zou volgens jou geen persoongegeven zijn?

cbravo2 @Brent • 19 december 2017 18:09

Jurisprudentie: IP == PII

Brent @cbravo2 • 19 december 2017 18:43

Dat bestrijd ik ook niet.

Pikoe @iAR • 19 december 2017 12:18

Als je iemands kaartnummer weet kan je ook gewoon de gehele reishistorie inzien met de verloopdatum van de OV-chipkaart, helemaal niet nodig om een database te bouwen.

[Reactie gewijzigd door Pikoe op 27 juli 2024 02:48]

mcDavid @iAR • 19 december 2017 11:40

Eigenlijk zou iemand even een twitterbot moeten maken, die tweet wanneer random bekende nederlanders (directeur van TLS voorop) ingecheked hebben. Moet je opletten hoe lang het duurt voordat deze "feature" weer uit staat

Anoniem: 669957 @xFeverr • 19 december 2017 12:16

Mark Rutte fietst ook regelmatig naar zijn werk, zo zijn er nog een aantal mensen die bijvoorbeeld in de politiek zitten, en gewoon het OV pakken.

Anoniem: 857639 @xFeverr • 19 december 2017 12:04

met prive chauffeur.

Anoniem: 857639 @aval0ne • 19 december 2017 12:36

Criminelen, ex-en die op wraak uit zijn hebben hiermee voldoende informatie in handen, maar dat niet alleen.. kaartnummer + GB gegevens zijn geld waard in de onderwereld... en vaak met kaartnummer + GB kan je soms al voldoende informatie opvragen bij OV chipkaart klantenservice.

MCP cloud 19 december 2017 11:06

@ mods

Update 1 – 17-12-2017:

Het blijkt ook mogelijk te zijn om de geboortedatum van de ov-chipkaarthouder te achterhalen met alleen het kaartnummer. Dit is te doen door iets in de webshop van de NS te plaatsen en vervolgens een kaartnummer in te voeren. De website toon dan de geboortedatum van de houder.

Anoniem: 857639 @MCP cloud • 19 december 2017 12:11

Zie het... dit is een serieus probleem waar TLS niet omheen kan!

Stoelpoot 19 december 2017 11:13

Hoe veel je de EU ook een fiasco noemt, het was het al ruimschoots waard puur vanwege de GDPR. Binnenkort kan je miljoenen kwijtraken aan dit soort wangedrag.

Noot: Ik denk niet dat de EU een compleet fiasco was. Maar al vond ik dat wel, maakte dit het nog steeds ruimschoots goed.

MSalters @Stoelpoot • 19 december 2017 11:49

Het probleem met die miljoenen is dat ze opgebracht moeten worden door de reizigers, niet door de verantwoordelijke managers. Bedrijven zonder monopolie-positie kun je nog enigzins effectief beboeten, maar bij bedrijven zonder concurrentie moet je over naar persoonlijek aansprakelijkheid.

Stoelpoot @MSalters • 19 december 2017 12:19

Ik ben van mening dat dat een zaak is voor het Rijk. TLS moet tarieven verhogen door mismanagement -> Kamervragen, sancties en andere maatregelen.

Tjolk @MSalters • 20 december 2017 09:47

Nou ja, een boete opleggen aan een staatsbedrijf is natuurlijk sowieso al kansloos hè. NS is volledig eigendom van het Rijk (staatsdeelneming 100% door ministerie van Financiën).
En Translink is voor:
- 68,75% in handen van NS (Rijk)
- 12,5% in handen van GVB (eigendom Gemeente Amsterdam)
- 12,5% in handen van RET (eigendom Gemeente Rotterdam en Gemeente Den Haag)
- 6,25% in handen van HTM (eigendom Gemeente Den Haag)

Dus die boete wordt de facto opgelegd DOOR het Ministerie van Financiën AAN het Ministerie van Financiën. Poeh, dat zal zeer doen...
En als Translink een fikse boete zou krijgen, zou dan voor eenderde gevoeld worden door 3 gemeenten, waar dat gedempt wordt door de buffer die de onderliggende vervoersbedrijven hebben. Het beetje wat dan nog gevoeld word door de gemeenten zelf wordt dan weer ofwel direct via de gemeentelijke begroting opgelost (Hallo WOZ!) of komt weer via het Ministerie van Financiën alsnog bij alle burgers terecht.

Kortom: die boetes hebben werkelijk geen enkele zin behalve dan misschien wat gezichtsverlies.

Redbull4u 19 december 2017 11:12

Het saldo checken vergelijk ik het met het opvragen van een kenteken bij de RDW. Je zien niet van wie de auto is. Maar als je vooraf weet van wie de auto is kun je er misschien iets mee.

Geboortedatum vind ik dan weer wat verder gaan. Dit wordt b.v. ook vaak gevraagd ter verificatie door callcenters.

latka @Redbull4u • 19 december 2017 11:22

Niet helemaal: de RDW gegevens zijn vrij statisch: auto informatie. Maar ook laatste APK datum en laatste transactie datum. Dit soort informatie is niet heel snel herleidbaar naar 1 persoon. Een saldo wel (zoals hierboven ook al staat): saldo heeft een direkte relatie met gereisde afstand. Zo kun je 1 OV kaart tracken door heel Nederland. Een vergelijkbare situatie zou ontstaan als de RDW de laatst gesignaleerde locatie bij een kenteken zou gaan publiceren.

mjz2cool @Redbull4u • 19 december 2017 11:29

alleen heb je aan de informatie van het rdw ook niet zoveel als je weet wie de eigenaar is. als je het saldo van elke willekeurige ovkaart in kunt zien, dan kun je een persoon gewoon van station tot station of halte tot halte volgen.

SuperDre 19 december 2017 11:19

overdrijven is ook een kunst aan het worden.. In dit geval ben ik het met translink eens dat een saldo weinig waarde heeft wat betreft persoonsgegevens. Als daarmee ook simpel de route etc achterhaald kon worden dan zou het een ander verhaal gaan worden.. Maar mensen beginnen nu echt te ver te gaan.. Ja beter om toch een extra authorisatie tussen te zetten tuurlijk, maar als dit alles is dan denk ik dat je beter je zinnen op belangrijkere zaken kunt zetten.

walteij @SuperDre • 19 december 2017 11:25

Een saldo alleen ja.
Maar zoals al eerder is gezegd, hebben trajecten een bepaalde prijs (en die is soms heel specifiek voor dat traject). Ook is de geboortedatum te achterhalen (via de NS shop kaartnummer invullen en de geb. datum wordt getoond).

Lees de blog van Arnaud Engelfriet eens:

De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

wjn @walteij • 19 december 2017 12:39

Dat is een onderbouwde mening, geen feit. Pas als een rechter heeft gezegd dat dit specifieke geval een datalek is, is dat zo.
Zo werkt het helaas.
Bijv. van alle ZZPers kun je het BSN nummer zien (= is 100% persoonsgebonden), wat veel meer gevolgen kan hebben, en dat is ook geen datalek.

PS Geboortedatum is ook zoiets, het verkleint het aantal mogelijke personen, maar het zijn er nog steeds vele duizenden. Geboortedatum is wel persoonsgebonden uiteraard, maar zeker niet uniek naar die persoon te herleiden. BSN weer wel.

[Reactie gewijzigd door wjn op 27 juli 2024 02:48]

Mania-92 @SuperDre • 19 december 2017 11:32

Het punt is dus dat de route die iemand neemt op basis van saldo juist wel vrij makkelijk is te achterhalen.. Uit de saldoverschillen en de bijwerkingstijden, samen met publieke informatie van de ns site (ritprijzen ed.) zou je vrij accuraat een route moeten kunnen nagaan.

badabingbadaboo @Mania-92 • 19 december 2017 11:58

Op die manier is alles te herleiden.
Geen datalek dus.

Anoniem: 857639 @badabingbadaboo • 19 december 2017 12:38

Wel datalek, voer diezelfde nummer is in via https://www.ns.nl/abonnementen/dal-voordeel.html en je hebt een hoop informatie in handen.

badabingbadaboo @Anoniem: 857639 • 19 december 2017 13:46

Net gedaan, welke informatie doel jij op dan?
Ik krijg alleen een geboorte datum te zien (welke overigens niet van mij is, anonieme kaarten dus bij van die louche winkels kopen

).
Sorry maar, of je legt het verkeerd uit of je hebt een ander beeld van een datalek.

Anoniem: 857639 @badabingbadaboo • 19 december 2017 13:58

Kaartnummer + GB is voldoende om via een smoes bepaalde gegevens op te vragen bij bijvoorbeeld de OV chipkaart klantenservice.
Toen ik wat gegevens moest aanpassen was enkel kaartnummer + GB voldoende om dat te regelen.

badabingbadaboo @Anoniem: 857639 • 19 december 2017 17:49

Dat noemt men social engineering. Is geen datalek.

Anoniem: 857639 @badabingbadaboo • 19 december 2017 17:53

Is wettelijk een datalek.

Mania-92 @badabingbadaboo • 19 december 2017 15:14

Deze logica ontgaat mij volledig...
Feit is dat, linksom of rechtsom, de reisgegevens van iedere ov chipkaart gebruiker op straat ligt.

badabingbadaboo @Mania-92 • 19 december 2017 15:49

Die logica ontgaat mij ook volledig.
Er ligt niks op straat, er zijn geen gegevens gestolen of kwijt. Het enige wat er te zien is doormiddel van een kaart nummer een saldo bekijken. Hetzelfde kan via een KvK nummer alleen krijg je dan nog meer informatie te zien, is dat dan een datalek?

Tevens hebben we het hier over reisgegevens waar nog geen persoonsgegevens aan vastzitten en welke dus totaal niet betrouwbaar zijn want er zit geen koppeling aan. Iedereen kan een willekeurige geboorte datum invoeren.

[Reactie gewijzigd door badabingbadaboo op 27 juli 2024 02:48]

cbravo2 @badabingbadaboo • 19 december 2017 18:42

Zie AP beleidsregels:

V:Heeft zich een beveiligingsincident voorgedaan?
A: Ja, persoonsgegevens zijn niet goed beveiligd zoals dat vereist is in de wet.

V: Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?
A: Ja, allerlei mensen hebben dit al kunnen misbruiken via de publiek toegankelijke website.

V:Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden.
A: Check...

Anoniem: 857639 @SuperDre • 19 december 2017 12:16

https://www.ns.nl/abonnementen/dal-voordeel.html

Voer daar een kaart nummer in en je hebt de geboortedatum... daarmee kan je al snel wat gegevens opvragen bij OV chipkaart klantenservice.

lvmeijer 19 december 2017 11:03

Doet me denken aan de blockchain. Daar kun je ook van een adres het saldo zien. Maar daar weet je van te voren dat het openbaar is

[Reactie gewijzigd door lvmeijer op 27 juli 2024 02:48]

PureTryOut @lvmeijer • 19 december 2017 11:24

Niet 100% waar. Bij Monero bijvoorbeeld is dit niet het geval, daar is alles privé en verborgen.

YopY @PureTryOut • 19 december 2017 11:30

Zelfs de miners, in je browser / apps

themac1983 @lvmeijer • 19 december 2017 11:36

Daarbij is een adres niet te koppelen aan een persoon. volgens mij is dat bij een kaartnummer wel zo.

vanaalten 19 december 2017 11:09

Ontkennen dat het een probleem is en op de achtergrond werken aan betere beveiliging. Ik verwacht binnen enkele dagen een update dat ze het toch beveiligd hebben, ondanks 'dat het geen probleem is'.

latka @vanaalten • 19 december 2017 11:23

Volgens mij laat de wet het gewoon toe om dan alsnog een flinke boete uit te delen na de cover up.

Op dit item kan niet meer gereageerd worden.

Translink ziet inzien saldo met willekeurig ov-chipkaartnummer niet als probleem

Lees meer

IT-banen

Reacties (118)

Sorteer op:

Weergave: