Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

NS meldt dat inbrekers bij 2200 accounts mogelijk privégegevens hebben ingezien

De Nederlandse Spoorwegen melden dat onbevoegden bij accounts van 2000 klanten hebben ingelogd. Daarbij zijn mogelijk privégegevens ingezien die via het account zichtbaar zijn, zoals namen, adressen, geboortedata en reishistorie.

De onbevoegden wisten vorige week zondagavond in te breken op accounts. Het lijkt er volgens de NS op dat ze gebruikmaakten van lijsten van e-mailadressen en wachtwoorden die op internet circuleren om op grote schaal inlogpogingen te doen. Omdat veel mensen voor meerdere diensten hetzelfde wachtwoord gebruiken, lukt het met dergelijke credential stuffing dan vaak succesvol in te loggen op accounts.

Naast persoonsgegevens waren in sommige gevallen reisgegevens in te zien. Dat was mogelijk als de ov-chipkaart van de gebruiker gekoppeld is aan het NS-account. De NS meldt aan het AD dat het bedrijf geen aanwijzingen heeft dat de gegevens misbruikt zijn. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een dergelijk datalek.

De NS sluit niet uit dat meer accounts getroffen zijn. Hoewel de massale inlogpoging zondag plaatsvond, constateerde de NS woensdag pas dat er geslaagde inlogacties bij zaten. Donderdag heeft het bedrijf de getroffenen ingelicht en uit voorzorg de accounts geblokkeerd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

17-07-2020 • 13:53

87 Linkedin

Submitter: juliank

Reacties (87)

Wijzig sortering
Los van privacy ben ik wel benieuwd, wat heeft iemand eraan om in te loggen op iemands NS account? Is daar geld te halen? Ik heb geen NS account (denk ik) dus geen idee.
Informatie zoals de geboortedatum kan het antwoord zijn op een beveilingingsvraag bij andere organisaties.

Het is trouwens een gegeven dat niet echt noodzakelijk is om openbaar vervoer te organiseren. Voor reizigers die de volle prijs betalen moet je dat toch niet bijhouden. Vooral omdat die informatie niet gewijzigd kan worden wanneer ze op straat ligt.

[Reactie gewijzigd door Quilt op 17 juli 2020 14:19]

Nu ja, NS geeft kortingen op basis van leeftijd natuurlijk, dus in dit geval is het wel degelijk relevant om de juiste prijsinformatie te kunnen tonen en aanbieden bij online kaartverkoop.
Alleen voor kinderen hoef je het dan op te slaan. Voor volwassenen zonder korting is geen opslag nodig. En iemand die senioren korting krijgt zou na een eenmalige controle gewoon permanent goedgekeurd moeten zijn.
Een geboortedatum is bij controle door de conducteur ook heel nuttig om te bepalen of de persoonlijke ov kaart van diegene is.
Hoezo? er zit toch een foto op? en desnoods kan diegene vragen je te legitimeren.
Foto's op een ov kaart zijn vaak onduidelijk of beschadigd en zeker in het geval van een familielid die misbruik maakt van een persoonlijke ov kaart met abbo is diegene niet zo makkelijk te onderscheiden op zo'n kleine foto. Daarnaast kan zonder geboortedatum Jeanette prima gebruik maken van de ov-kaart van zus Jacqueline of moeder Jolanda waarbij controle via identiteitsbewijs de fraude niet zichtbaar maakt.

[Reactie gewijzigd door FullThrottle op 18 juli 2020 21:59]

Hoezo maakt controle dat via identiteitsbewijs niet meteen duidelijk? alleen als iemand dezelfde naam heeft zal die ertussendoor glippen dan toch?
Zodra iemand dezelfde voorletter heeft met dezelfde achternaam zal deze er door glippen zonder geboortedatum op de ov kaart. Een situatie die zeker binnen hetzelfde huishouden niet ondenkbaar is.

edit: typos

[Reactie gewijzigd door FullThrottle op 19 juli 2020 22:34]

daarvoor is de foto dus al, zodat dat er niet tussendoor glipt. je wilt dus 3 voudig controlehulp? zo moeilijk is het niet om het goed te controleren, en ja dan gaat het alsnog soms mis. maar hoeveel procent ga je voorkomen hiermee? 0.001%? dus moeten we allemaal maar een stukje privacy opgeven omdat de conducteur misschien een naam verkeerd leest? kom op zeg, wat een slap argument.
Ik denk dat je daar behoorlijk in vergist. Fraude met OV kaarten binnen het eigen gezin komt best veel voor en een klein foto'tje gaat niet helpen om de ene zus van de andere te onderscheiden.

Maar leg me eens uit welk stukje privacy je inlevert. De enige die je ov kaart ter inzage kan vragen is de hoofdconducteur of een mederwerker Service en Veiligheid. Beide zijn toezichthouder en BOA en kunnen je identiteitsbewijs vorderen voor controle of voor het opmaken van een boete. In de jouw geschetste situatie zullen ze dat ook moeten doen waarbij ze meteen veel meer informatie over je hebben dan alleen een geboortedatum . Bijvoorbeeld je BSN nummer en daarmee via een gba check je adresgegevens. Maw de enige die inzage hebben op de geboortedatum op de ov kaart hebben die gegevens toch al via controle van een identiteitsbewijs.
nouja dat blijkt toch hier? privacy die gelekt wordt waardoor scammers e.d. makkelijker geld van oudere mensen ontfutselen met identiteitsdiefstal. er is een GIGANTISCH verschil tussen een pasje bekijken, en systematisch die data in een database zetten. als ze toch al je identiteitsbewijs mogen vorderen is het al helemaal idioot dat het nodig is, dan kan je met een simpele nfc scan zelfs iemands identiteit bevestigen zonder dat je daadwerkelijk informatie nodig hebt naast de naam. misschien eerst de middelen die je al hebt maximaal benutten ipv de makkelijkste route nemen? 100% geautomatiseerd en dus nog veel efficienter dan hoeveel extra controles met een mens dan ook. en het maakt niet uit hoeveel mensen er frauderen, het gaat erom hoeveel fraudeurs ertussendoor glippen als controleurs daadwerkelijk hun best doen. (want vaak genoeg boeit het ze ook gewoon niet).

[Reactie gewijzigd door t link op 20 juli 2020 07:30]

Persoonlijke informatie verzamelen om vervolgens gerichte phishingmails te sturen?
Je eigen kaart toevoegen en er een abonnement op zetten. (Of simpelweg op rekening rijden aanzetten.) Bij accounts die reeds automatische incasso gebruiken kan dat.
Precies dit was mijn vraag ook. Waarom breek je in op 2000(!) accounts, maar dan zonder misbruik te plegen? Toch vreemd hoor, en op basis van dit artikel heb ik het vermoeden dat er nog iets anders aan de hand is dat we nog niet weten (en de NS hopelijk ook niet).
Een test om te zien wie er credentials hergebruikt?

Je kunt de credential die bij de NS werkt vervolgens gebruiken bij hun e-mailadres of op andere locaties.
Hackers verzamelen / sprokkelen graag data en passen zo een grotere puzzel in elkaar voor andere (lees: grotere) aanvallen. Daarnaast kun je in de webomgeving van de NS best wat dingen doen die niet zo leuk zijn voor de eindgebruiker volgens mij.

Dat 'sprokkelrisico' wordt nogal eens vergeten in discussies over beveiligingsmaatregelen van websites e.d. Het argument van een webmaster dat er via/op zijn website geen belangrijke gegevens worden opgeslagen is wellicht juist vanuit zijn perspectief, maar door een hack van zijn site zal toch maar net dat ene ontbrekende puzzelstukje bij een hacker belanden waardoor hij elders een enorme slag kan slaan.... Dat kan interessante aansprakelijkheidsdiscussies opleveren als je het mij vraagt....

[Reactie gewijzigd door zordaz op 17 juli 2020 15:37]

Precies deze discussie gehad over de security van een WordPress-website.
Er staat alleen publieke info op de site. Geen betaalstromen, geen formulierdata, geen email-accounts, geen inlogaccounts (op die van 2 webmasters na).

Dus: basis security is dan prima.
- File changes monitoren
- Inlog pogingen 2Factor
- Auto updates
- Standaard firewall rules aangevuld met anti-hack algoritmes en honeypot adressen.

Als er wel geld of belangrijke info (of high profile) gemoeid is dan betere security.
Zo'n Elon Musk account kan veel beursschade betekenen als deze ineens praat over een mogelijk failssement of grote tegenslag.
Als er wel geld of belangrijke info (of high profile) gemoeid is dan betere security.
Dan is WP in mijn ogen ook geen logische of goede keuze meer.
Reis history kan ook gebruikt worden om te bepalen of huizen onbewoond zijn voor alleenstaanden bijvoorbeeld. Daarom heb ik een anoniem OV. Waarom zou iemand mijn reis history nodig hebben?
Tsja, moet je de NS dit nu kwalijk nemen? Ik vind het ook niet echt een lek. Er is gewoon succesvol ingelogd met gegevens die op internet gevonden zijn. Het is niet zo dat de NS iets gelekt heeft. Zo zie je maar weer dan veel mensen veel te makkelijk om gaan met hun wachtwoordgebruik. Uiteraard wel goed dat ze die accounts nu bevriezen / blokkeren, maar wie weet bij hoeveel meer accounts dit kan?
De NS heeft niet tijdig gereageerd op massale inlogpogingen.
Daar zit het probleem.
De hackers hebben niet toevallig met een juist account en wachtwoord ingelogd maar zijn aan de gang gegaan met honderden of duizenden accounts achter elkaar.
Dat had uiteraard direct alarmbellen moeten laten afgaan bij de NS omdat dit buiten de normale inlog pogingen valt. Dit valt ze dus te verwijten.
Ze hadden de logindetails al, het enige wat ze hoefden te doen is al die accounts te proberen, dus als ze dat bij 1 keer per account houden, en niet allemaal vanaf hetzelfde ipadres, zal het NS niet opvallen.
Maar zo te lezen hebben ze het wel gemerkt, alleen kwamen ze er pas woensdag achter dat er ook succesvolle inlogpogingen tussen zaten. En dan nog moeten ze er achter komen dat dit niet rechtmatig was.

[Reactie gewijzigd door mjz2cool op 17 juli 2020 14:58]

Natuurlijk hebben ze de inlogpogingen gelogd.
Het zo juist daarom op moeten vallen als je opeens een stortvloed aan mislukte inlog pogingen te zien krijgt.
Slechts een heel klein deel van de gestolen account/wachtwoord combinaties zal ook echt juist zijn.
De rest is gokken en dat valt op.
Al helemaal als ze van hetzelfde IP adres komen maar als de hackers dat proberen te omzeilen valt het ook op. Geautomatiseerde inlog pogingen gedragen zich ook anders dan iemand die handmatig inlogt.
Kortom, de NS valt nog steeds iets te verwijten.
Gisteren toevallig een grote enquete ingevuld over hoe ik reis naar mijn werk. Eén onderdeel daarvan was in hoevere privacy van belang was bij mijn keuze om wel of niet met het OV te reizen.

Ik dacht dat het niet zou uitmaken, maar blijkbaar is het eigenlijk wel een punt.

Kun je nog ergens met cash strippenkaarten of anonieme retour-treinkaartjes kopen? Of ben je dan per definitie duurder uit of slechter af?
Anonieme chipkaart kan nog steeds, kost evenveel als een persoonlijke. Kun je alleen geen abbo op zetten.
Ik reis zo weinig met OV dat ik eigenlijk geen idee meer heb hoe het moet? Ik zou gewoon met geld naar het station lopen en verwachten dat ik gewoon ter plekke een kaartje kan kopen om van A naar B te gaan. Met de bus weet ik het al helemaal niet meer. Vroeger zwaaide ik met mijn OV-studentenkaart en liep door :)

Ja, ik reis eigenlijk enkel met de auto :)
Ik reis zo weinig met OV dat ik eigenlijk geen idee meer heb hoe het moet?
Ze zouden iets moeten uitvinden waarmee je dat soort informatie gewoon kan opzoeken. Een soort encyclopedie/telefoongids gecombineerd. En dat het dan altijd up-to-date is. En helemaal gaaf als je dan net als Star Trek een soort PADD hebt waarmee je dat soort info overal kan opvragen. Nou ja, toekomstmuziek.
Ja, het klinkt mss een beetje stom; maar ik vind het echt wel een gedoe om met de trein te gaan. Ik weet niet wat ik kan verwachten (onbekend=onbemind) en ik hoor alleen dingen over pasjes, abonnementen, toegangspoortjes, boetes en kaarten waar je eerst geld op moet zetten en dan later terug moet vragen. F* that. Ik wil gewoon 1x naar het strand, of shoppen in Utrecht. Zonder gedoe. Gewoon thuis je tas pakken en gaan. Zonder gedoe voor of na mijn reis.

Dus pak ik de auto. Die heb ik. Ik weet hoe het werkt en ik ken de boetes voor te hard rijden :)
Die parkeerplek die vind ik wel.
Bedoel je het internet?

Je kan ook altijd naar een infobalie, grotere stations hebben ook altijd een minikioskje ergens bij de ingangen van het inwendige stationsplein.

[Reactie gewijzigd door Blizz op 17 juli 2020 17:08]

Contant geld kan in de bus sowieso niet meer, en volgens mij op kleine stations ook niet. Of het op grotere stations wel kan bij de servicebalie weet ik niet. Als je een los kaartje pint dan betaal je een euro toeslag voor het printen van je kaartje.
Een anonieme ov chipkaart betaal je een aanschafbedrag voor, daarna gewoon de kosten van de reis. Inchecken voor instappen en uitchecken waar je uitstapt.

Er moet wel een minimaal bedrag op de kaart staan omdat de kosten pas aan het eind berekend worden. Volgens mij is dat 10-15 euro minimaal. Hoe het zit met dat terugkrijgen als de kaart verlopen is weet ik niet, maar zal ongetwijfeld een procedure voor zijn.

Heb je een persoonlijke OV kaart gekoppeld aan je bank (automatisch opladen) dan is een OV kaart erg makkelijk. Heb je dat niet, dan is het veel gedoe.
Mijn ervaring als zeer incidenteel bus/trein reiziger:

1. eerst OV kaart opzoeken, twee gevonden, beide verlopen
2. geen tijd om geld erop terug te vragen, dus maar even een nieuwe uit het apparaat trekken
3. 7,50 + 30 euro verder, een OV kaart, voor 1 treinreis naar schiphol en terug a 8 euro/trip
4. kaart blijft nu in de portemonee. 3 jaar later weer nodig, kaart heeft een scheur in het midden en werkt niet meer
5. goto stap 2

En aangezien er ook een stukje bus in zit lukt dat niet met losse kaartjes.
En aangezien er ook een stukje bus in zit lukt dat niet met losse kaartjes.
In de bus kun je nog gewoon een kaartje pinnen hoor. Alleen niet meer contant betalen.
Ja maar het is wel allemaal duurder. En ik als niet-nadenkende zuinige hollander denk dan: Die ov-kaart ga ik vast nog zo vaak gebruiken voordat hij verloopt dat dit goedkoper is.

Enfin, uiteindelijk neem ik toch vrijwel altijd weer de auto, of een taxi als ik zelf vlieg (wat vaak vroeg in de ochtend is op een tijdstip dat je het met de trein niet 2 uur van te voren red)
"Ja maar het is wel allemaal duurder."
Dat is me ook al vaker opgevallen.. de prijsstijgingen en aanpassingen zijn met de OV-chipkaart goed vermomd. Laatst moest mijn dochter een keer met de bus, bleek het kaartje 4,50 te zijn voor niet-ov-chip reizigers... voor 5km, met een zonehalte ertussen waar ze nog een keer een kaartje had moeten kopen... voor nog een keer 4,50. Voor 2 km.

Daar kan ik een auto voor halen!
En ik als niet-nadenkende zuinige hollander denk dan: Die ov-kaart ga ik vast nog zo vaak gebruiken voordat hij verloopt dat dit goedkoper is.
...
2. geen tijd om geld erop terug te vragen, dus maar even een nieuwe uit het apparaat trekken
...
5. goto stap 2
Wel beperkte zuinigheid dus, anders heb je wel tijd prioriteit om het restsaldo terug te vragen ;) Een echt zuinige hollander knijpt die kaart tot de laatste cent uit
Door corona kan dit niet meer, (je komt niet meer in de buurt van de bus chauffeur). Je hebt in het midden een soort paal waar je wel een kaartje kan kopen, QR Code moet je dan scannen.
En zo worden er bakken met geld verdient voor de verplicht gemaakte kosten.

Translink zou eens moeten gaan aantonen of die kosten de daadwerkelijke kosten zijn. Ik geloof nooit dat zo'n anonieme OV kaart 7,50 kost, of dat een geprint kaartje 1 euro kost. Helemaal niet als je al het verloren geld meerekent dat nooit opgeëist wordt.
Je kan in de ns app ook gewoon een ticket kopen, niks geen OV chipkaart voor nodig.
Je kunt al minimaal een jaar voor NS gewoon via de app op je telefoon een kaartje kopen. Je krijgt dan een digitale barcode waarmee je kunt in- en uitchecken. OV-chipkaart is niet nodig.
ik heb al 3 jaar geen trein genomen tho.
Mijn ervaring als zeer incidenteel bus/treinreiziger:

1. OV-kaart zit gewoon in portemonnee
2. reizen

Overigens is de kans dat je OV-kaart spontaan stukgaat groter in je portemonnee, maar dan vervangen ze hem zonder kosten (mits er geen schade van buitenaf zichtbaar is).
Mijn incidentele reizen zijn onderhand eens in de 2-3 jaar. De OV kaart is maar 5 jaar geldig. En ik begin dan op stations waar alleen een automaat staat en geen vriendelijke NS medewerker die even de kaart kan vervangen...
Kun je dan niet beter sowieso gewoon losse kaartjes kopen op het moment dat je reist?

Ik reis trouwens ook bijna alleen naar Schiphol met de trein :+
Als je kaart defect is mag je gewoon €11 aftikken: https://www.ov-chipkaart....t-is-defectonleesbaar.htm
Bij mij is hij kosteloos vervangen destijds, een jaar of 2 geleden. En terecht, het ding heeft met zat andere (bank)passen in mijn portemonnee gezeten die allemaal niet stuk zijn gegaan.

Mogelijk maakt het een verschil dat er bij mij een NS daluren-abo op staat trouwens.
Ok; klink als gedoe voor een eenmalig treinreisje inderdaad. Ik sluit wel weer aan in de file :). Dank!
Zoals TomR ook aangaf, het is ook mogelijk om in de NS-app een kaartje te kopen. Dit is mijns inziens de makkelijkste manier om af en toe een treinkaartje te kopen. Met dit ticket kun je ook poortjes op stations openen etc.
Oh nice, dat wil ik nog wel eens proberen!
Vakantietijd. Misschien een dagje weg met OV naar een standscentrum o.i.d.
Altijd handig om eens naar te kijken voor dat dagje weg: https://www.ns.nl/spoordeelwinkel
Je kan uiteraard ook gewoon een los kaartje bij de kaartautomaat of een van de weinige overgebleven loketten kopen.
Je blijft vaak echter met een rest-saldo zitten dat je niet precies kan opmaken. Dat maakt de kaart iets duurder.

Dat saldo kun je wel vergoed krijgen, maar daar komen dan weer persoonlijke gegevens bij kijken.
Je blijft vaak echter met een rest-saldo zitten dat je niet precies kan opmaken. Dat maakt de kaart iets duurder.

Dat saldo kun je wel vergoed krijgen, maar daar komen dan weer persoonlijke gegevens bij kijken.
En kosten, €2,50.
Tja, als je wachtwoord + emailadres op internet staan is het niet gek dat ze kunnen inloggen. Er is hier geen sprake van een lek aan de kant van NS maar aan de kant van de gebruiker.
Blijkbaar is er wel sprake van duizenden inlogpogingen (waarvan 2200 geslaagde) vanaf hetzelfde ip-adres. Het is geen best practice van de NS om dit toe te staan.

Ook slaat de NS informatie (geboortedata) op die meestal onnodig is, maar wat wel een persoonsgegeven is dat de persoon zelf niet kan veranderen. Dat is ook geen best practice.

Ik ga akkoord dat de verantwoordelijkheid in hoofdzaak bij de gebruikers ligt, maar de NS kan ook een aantal zaken verbeteren.
Zelf Tweakers.net stuurt een mailtje bij een login vanaf een ander apparaat...

[Reactie gewijzigd door Quilt op 17 juli 2020 16:57]

Zelf Tweakers.net stuurt een mailtje bij een login vanaf een ander apparaat...
Oh? Die heb ik nog nooit gekregen. Daarnaast: Zelfs tweakers heeft geen 2FA mogelijkheid. Dat zou ik van elke site wel mogen verwachten
Van hetzelfde ip-adres? Dit lees ik nergens terug. Daarnaast is het vrij normaal om als hacker/aanvaller juist een botnet in te zetten om dit soort detectie te voorkomen.

Ook is geboortedatum een vrij logisch type date als je met producten werkt die leeftijd gebaseerd zijn, zoals kortingskaarten voor jongeren en 65plussers.

Het is vervelend voor de NS, maar dit kan iedere website overkomen die geen 2fa aan heeft staan. Zolang 2fa niet de standaard is, maar de uitzondering, zullen gebruikers de dupe zijn van (vaak) hun eigen stupiditeit/luiheid.
Je kan die kortingen ook regelen zonder een geboortedatum op te slaan.
65-plusser is gewoon een flag. Eens je die status hebt, verandert het toch niet meer...
Of je maakt wel een account en je regelt een NS-flex kaart.
Normaal kost een nieuwe kaart 7,50 en omzetten naar flex 10 euro.
Maar als je een NS-flex abbo van 5 euro per maand afsluit, kan je tijdens het bestellen een nieuwe kaart (gratis) aanvragen.
Na een maand je abbo op flex basis van 0 euro zetten en je hebt voor 5 euro een kaart waarmee je 5 jaar (dacht ik) wanneer je maar wil in bus, tram, trein stappen zonder dat je je zorgen hoeft te maken of er nog tegoed op staat (automatische incasso van 0 euro iedere maand)
Als je korting wil heb je in veel gevallen een account nodig. Je kan reizen zonder een account, maar dat wil nog niet zeggen dat je dus anoniem reist.
Ligt eraan hoe vaak je per ip-adres fout kunt inloggen bij de NS?
Ze hoefden het niet vaker te proberen, ze hadden al heel veel logindetails, dus het enige wat ze hoefden te doen is deze in te voeren.
Ze hadden e-mail + wachtwoord combinaties maar niet allemaal van de NS neem ik aan. Dus er komen ook veel foute inlogs voor. En daar kun je ip-adressen gewoon tijdelijk op blokkeren.
Naja, gewoon de fout van de gebruikers dus. Heeft niks te maken met hun (NS) systemen.
Nouja, waarom zou je je gegevens sowieso moeten achterlaten voor het reizen per trein? Decennia lang ging dat uitstekend zonder, en nu moet je voor elke korting of uitzondering een account met persoonlijke informatie daarin aanmaken. Ja, het is NS aan te rekenen dat ze sowieso informatie eisen/verzamelen die gevoelig is.
Decennia lang kon je niet vanuit huis een nieuwe OV kaart bestellen of even je reisgeschiedenis downloaden zodat je deze kan declareren bij je werkgever.

En als jij wil reizen zonder deze mogelijkheid, is dat prima mogelijk. Je hebt helemaal geen NS account nodig om met de trein te reizen.
De NS biedt een dienst en het is aan jou om daar gebruik te maken of niet. Dan moet je niet zeuren wanneer de boel gehacked wordt omdat je dom genoeg bent om over hetzelfde WW te gebruiken.
Vroeger waren er genoeg kortingsopties bij de NS zonder je persoonlijke gegevens achter te laten. Je kocht het via de balie of de automaat en toonde dat netjes aan de conducteur bij een controle. Nu is alles behalve de meest basic toegang op basis van een persoonlijke kaart en bijbehorende online aankopen. Dat is geen extra service, dat is hetzelfde maar met extragratis gegevens verzamelen. En je geschiedenis downloaden is een leuke extra feature, maar waarom zou je geen print kunnen krijgen op basis van je anonieme kaart? Ff langs de automaat of balie, scan, print, klaar. Wachtwoorden hergebruiken is dom, maar overal een account voor moeten hebben is onnodig gulzige datahonger.
Heeft de NS 2FA?

Een simpele SMS otp ( al bewezen onveilig) zal wel 99.99% procent het gestopt hebeen omdat het wel wat meer technische expertise vereist.

One of the most common methods of 2FA is SMS text messages. The problem is that SMS is not a secure medium. Hackers have several tools in their arsenal that can intercept, phish, and spoof SMS. Despite this security flaw and better options for authentication, SMS-based 2FA is still used by several institutions.
https://blog.sucuri.net/2...fa-sms-is-a-bad-idea.html

Maar zelfs dat is er niet zover ik kan vinden.

Ik zie ook geen FIDO ( alhoewel dat natuurlijk nieuwe tech is) maar dat had het 100% zeker gestopt aangezien password-username waardeloos worden.

Dom van de klant om password / login te hergebruiken maar NS komt hier ook niet volledig weg mochten ze wel 2fa hebben dan kun je ze niks kwalijk nemen.

[Reactie gewijzigd door Zyphlan op 17 juli 2020 14:14]

Ik denk niet dat de mensen die overal hetzelfde wachtwoord gebruiken de moeite nemen 2FA in te schakelen, als ze al weten wat 2FA is/waarom 2FA goed is om te gebruiken. Als een ander wachtwoord per site al teveel moeite is, is 2FA vast ook teveel moeite.

Maar goed, wat mij betreft mag elk bedrijf 2FA aanbieden, want overal waar ik het kan zet ik het aan! :-)
Oh klopt volledig, laten we eerlijk zijn ik gok dat 99% het niet gaat doen.....

maar de NS kan dan wel zeggen :
De optie is er ..... dat mensen het niet gebruiken dat is jammer maar we gaan het niet forceren.
Sterker nog: ik vraag me of ze het niet verplicht zijn aan te bieden, gezien de privacygevoelige data - waarvan een groot deel helemaal niet verzameld had hoeven worden, dus dat komt er bovenop.
Je moet niets, maar een account verhoogt het gebruiksgemak. Je kan eenvoudig je geschiedenis bekijken, eenvoudig producten aanpassen, opwaarderen, ... . En alle wat je moet doen is inloggen. Niets belet je om het zonder account te doen, maar dan is het net iets minder gebruiksvriendelijk.

En voor producten die persoonsgebonden zijn is het altijd al noodzakelijk geweest om informatie af te staan. Dat is al zo van voor we alles online deden.
+1Anoniem: 1350842
@phYzar17 juli 2020 14:21
Maar je doet nu alsof de NS mannetjes heeft staan en jou tegenhouden als je geen NS account hebt. Dat is gewoon niet waar, en je kunt zelfs gewoon de site en app gebruiken voor het plannen van reizen zonder dat je een account hebt. Wil jij online een abonnement afsluiten, ja dan moeten ze je gegevens hebben, dus daarbij is het niet zo gek dat ze die opslaan toch?

Uiteindelijk zal de NS het nooit goed doen, want Nederlanders houden van klagen. Als ze dit niet hadden gedaan dan was er een partij gezeik gekomen over hoe moeilijk het is je abonnement aan te passen, want dan moet je langs een station omdat je geen account hebt. Is er wel een account dan is het weer belachelijk dat je voor persoonlijke producten je persoonlijke gegevens af moet geven. Dus ja, dit is wel de optie die gewoon het meeste gemak levert bij de meeste reizigers, en ja dat is hoe de wereld werkt.

2FA bijvoorbeeld zou je nog wat over kunnen zeggen, maar het opslaan van gegevens is niet iets nieuws of geks, en de toegevoegde waarde voor de meeste mensen is ook gewoon handig.
Het achterlaten van je gegevens is er ook bij de NS al decennia lang. Abonnementen en korting zijn geen uitvinding sinds het bestaan van online diensten. Dus vele reizigers lieten dan hun gegevens achter via een papieren formulier, zonder account met een wachtwoord, zonder dat ze er zelf echt controle over hadden wat er daarna mee gebeurde. Die betalingen moesten natuurlijk wel bijgehouden worden en daar heeft een bedrijf, dus ook de NS, een administratie voor. Veel reizigers hebben een abonnement.
Op dit moment kan ik niet inloggen met mijn account maar ik heb geen mail van de NS gehad. Wachtwoordreset-functie lijkt op dit moment ook niet te werken. Ik krijg een melding: "De gebruikte wachtwoordherstelcode is ongeldig." Misschien niet gerelateerd maar wel toevallig.

[Reactie gewijzigd door Luit op 17 juli 2020 14:31]

Gisteravond inderdaad ook: de klantenservice wist alleen van niets. Lijkt me dat het wel bekend was geweest als de optie tijdelijk was uitgeschakeld?
Ook bij mij. Kan met de app niet inloggen, boodschap: “probeer het later nog eens” . Met mijnNS via de website lukt hebt wel, alleen de reishistorie is een rommeltje.
Vorige week ook zoiets gehad, was een storing volgens klantenservice, komt en kwam vanzelf goed.
Dus ik denk nu ook weer even geduld.
Hoewel ik geen recycled wachtwoord heb voor mijn persoonlijk NS account en mijn zakelijke account heb ik voor de zekerheid toch de wachtwoorden gereset. Tevens heb ik gekeken of er afwijkend activiteit was op de account. Ook deze kon ik niet vinden. (Geen bestellingen, etc.)

Het probleem zit hem net zoals velen hier melden in de tijd dat er gereageerd is. Ik ben benieuwd of daadwerkelijk betrokken accounts uit preventie zijn gereset of dat de gebruikers zijn gewaarschuwd.
Het probleem zit hem net zoals velen hier melden in de tijd dat er gereageerd is. Ik ben benieuwd of daadwerkelijk betrokken accounts uit preventie zijn gereset of dat de gebruikers zijn gewaarschuwd.
Staat in het artikel ;)
De NS sluit niet uit dat meer accounts getroffen zijn. Hoewel de massale inlogpoging zondag plaatsvond, constateerde de NS woensdag pas dat er geslaagde inlogacties bij zaten. Donderdag heeft het bedrijf de getroffenen ingelicht en uit voorzorg de accounts geblokkeerd.
Voorbij gelezen! dank.
Geen probleem, kan gebeuren
+1Anoniem: 892783
17 juli 2020 14:28
Mmmm verklaart dat misschien het feit dat ik vandaag, nieuwe telefoon en dus alle apps opnieuw geïnstalleerd, dat ik niet kan inloggen bij de server van NS?

edit: ik heb het over het inloggen op de app zelf. Blijkbaar online via de webbrowser geen probleem om in te loggen.

[Reactie gewijzigd door Anoniem: 892783 op 17 juli 2020 14:38]

Ik hoop dat mijn gegevens daar niet tussen zitten! Blijf het toch raar vinden dat websites zoals ns.nl, bol.com etc nog geen MFA hebben geïmplementeerd.
Zeker de NS zou als semi-publieke organisatie zijn zaken op orde moeten hebben.
Sinds wanneer hebben (semi) publieke organisaties zaken op orde? :>)
Het zijn er zat die hun zaken op orde hebben. Geef me even tijd om het uit te zoeken!

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True