Vervoerder Arriva waarschuwt klanten voor datalek via contactformulier

Vervoersbedrijf Arriva waarschuwt 195.000 klanten voor een mogelijk datalek. Daarbij zijn namen, e-mailadressen, telefoonnummers en geboortedatums naar buiten gekomen die eerder via het contactformulier op de website zijn gestolen. Arriva zegt nog verder onderzoek te doen.

Arriva waarschuwt voor het datalek op zijn website en in een e-mail die klanten hebben ontvangen, die inmiddels ook meerdere tweakers hebben ontvangen. De vervoersmaatschappij, die met name in het noorden en oosten van het land bus- en treinverbindingen heeft, bevestigt het datalek aan Tweakers en zegt dat er zo'n 195.000 klanten zijn getroffen door het datalek. "Het gaat dan specifiek om een datalek via ons contactformulier op de website", schrijft de vervoerder.

"Wij hebben onlangs geconstateerd dat uw gegevens mogelijk inzichtelijk zijn geweest voor onbevoegden via ons contactformulier", schrijft Arriva, zonder daar verder details over te geven. "De kans dat iemand uw gegevens heeft ingezien is klein, maar wij willen u er graag wel op attenderen. Na onderzoek van zowel interne als externe experts blijkt dat het gaat om een datalek van e-mailadressen, namen, telefoonnummers en geboortedatums."

Arriva zegt het contactformulier inmiddels offline te hebben gehaald en nog verder onderzoek te doen naar het datalek en de beveiliging. Het bedrijf zegt dat er geen wachtwoorden, adressen en bankgegevens zijn gelekt. Opvallend is dat Arriva uitsluit dat er andere datalekken hebben plaatsgevonden. "De overige contactformulieren op onze website hebben we ook onderzocht; daarbij is geen sprake van een datalek", schrijft het bedrijf. Arriva waarschuwt reizigers daarnaast voor potentiële phishingaanvallen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 27-09-2023 12:54 97

27-09-2023 • 12:54

97

Lees meer

Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records Nieuws van 22 januari 2024
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval Nieuws van 18 december 2023
Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten
Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten Nieuws van 11 oktober 2023
KNVB betaalde losgeld aan criminelen om persoonsgegevens te beschermen - update
KNVB betaalde losgeld aan criminelen om persoonsgegevens te beschermen - update Nieuws van 12 september 2023
Kadaster stelt volgend jaar eHerkenning verplicht voor opzoeken van woonadressen
Kadaster stelt volgend jaar eHerkenning verplicht voor opzoeken van woonadressen Nieuws van 6 september 2023
'Hackers verkopen persoonsgegevens van Belgische Orange-klanten'
'Hackers verkopen persoonsgegevens van Belgische Orange-klanten' Nieuws van 1 september 2023
Miljoenen woonadressen waren eenvoudig op te zoeken door lek bij kadaster
Miljoenen woonadressen waren eenvoudig op te zoeken door lek bij kadaster Nieuws van 28 augustus 2023
Website voor inkopen staatsbonnen lekte adresgegevens uit van alle Belgen
Website voor inkopen staatsbonnen lekte adresgegevens uit van alle Belgen Nieuws van 26 augustus 2023
Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoekers
Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoekers Nieuws van 25 augustus 2023
Data van 760.000 gebruikers van Discord-invitedienst Discord.io zijn uitgelekt
Data van 760.000 gebruikers van Discord-invitedienst Discord.io zijn uitgelekt Nieuws van 15 augustus 2023
Have I Been Pwned biedt abonnement om domeinen te monitoren op datalekken
Have I Been Pwned biedt abonnement om domeinen te monitoren op datalekken Nieuws van 8 augustus 2023
Meer producten en artikelen
Beveiliging en antivirus Datalek Nederland

Reacties (97)

-Moderatie-faq
97
96
38
3
0
45
Wijzig sortering
Arrow_U 27 september 2023 13:02
Genoeg nu, tijd dat bedrijven gewoon schadevergoeding mogen gaan betalen zodra gegevens uitlekken. €250 per persoon wiens gegevens zo op straat komen. Kijken of ze dan nog steeds zo laks omgaan met beveiliging.
lenwar
@Arrow_U27 september 2023 13:15
Ik snap je sentiment natuurlijk, maar inhoudelijk:
Waar haal je 250 euro vandaan? Een schadevergoeding moet een vergoeding van gelopen schade zijn. Hoe kwantificeer je dat?
Hoe weet je of ze laks zijn geweest of dat er iets buiten hun directe invloedssfeer verkeerd is gegaan? Dus dat ze er alleen verantwoordelijk voor zijn omdat het hun site betrof.
Anoniem: 1918002 @lenwar27 september 2023 13:42
Het moet betaalbaar zijn (zodat het bedrijf niet failliet gaat) maar het moet wel pijnlijk zijn. Bedrijven moeten allergisch worden voor persoonsgegevens. Dat is eigenlijk wat het is. U wilt uw geboortedatum achterlaten op onze website.... Liever niet. U wilt langer dan 3 maanden na het gebruik van onze diensten nog in ons systeem staan... liever niet. etc. etc.
Arrow_U @Anoniem: 191800227 september 2023 14:56
Dit inderdaad.
kuurtjes @Anoniem: 191800227 september 2023 16:17
Waarom moeten we altijd "zien dat het bedrijf niet failliet gaat"? Willen we niet dat mensen en hun data belangrijker zijn dan bedrijven? Ik zou denken dat bedrijven veel minder belangrijk zijn dan de mensen :)
Anoniem: 1918002 @kuurtjes27 september 2023 16:48
Ja, dat klopt in een communistische samenleving. Wanneer we dat eerst fixen en het kapitalisme overboord gooien is dat natuurlijk prima.

Misschien dat je het nieuws volgt, maar de komende tijd gaan er veel bedrijven failliet. Denk je dat die werknemers hun huis en boodschappen niet meer kunnen betalen ze daar gelukkig van worden? Wanneer je bij elke overtreding een bedrijf failliet laat gaan is het wel snel gedaan met het vestigingsklimaat in Nederland en blijven we over met een stel werkelozen en failliete bedrijven.
kuurtjes @Anoniem: 191800228 september 2023 16:17
Ja, ik pleit al langer voor meer socialisme en communisme. Maar de media heeft de betekenis van het woord communisme al bijna helemaal verdraait. Maar ja, dat is natuurlijk een discussie die niet thuishoort op Tweakers comments ;)
Mr. Smith @Anoniem: 191800228 september 2023 04:08
En een volgende stap wordt dat er voor allerlei diensten ineens kosten in rekening gebracht gaan worden.
Als je uitrekent hoe groot de kans op een datalek is, kun je uitrekenen hoe je jezelf daarvoor kan indekken voor € *.** per gebeurtenis.

Diensten moeten geleverd worden.
Datalekken komen voor.
Bedrijven moeten winst maken.
Kosten zullen doorberekend worden.
MGutker @lenwar27 september 2023 13:42
Arriva is verantwoordelijk voor wat er op hun site gebeurd. Het is hun site, als hun daarna de bal door willen rollen naar een partij die hun site maakt of beheerd dan kan dat, maar dat verlegd niet de verantwoordelijkheid ten opzichte van hun gebruikers.

-> Dit alles staat natuurlijk los van of het uberhoupt realistisch is om een schadevergoeding te eisen.
moonlander @Arrow_U27 september 2023 13:12
Dan gaan bedrijven het nooit meer melden.
ReVision. @moonlander27 september 2023 13:16
Dat zijn ze verplicht en doen ze dat niet dan betalen ze als het uitkomt nog eens een extra hoge boete bovenop de voorgestelde schadevergoeding.
Mugiwaraya @ReVision.27 september 2023 13:31
Dat ze dat verplicht zijn wil niet zeggen dat ze het ook gaan doen. 1. De autoriteit moet dan eerst weten dat er een datalek is geweest, bijv. ze komen de lek op het deepweb tegen. 2. Ze moeten dan ook nog eens concreet kunnen bewijzen dat de datalek van hen afkomstig is en dan pas kunnen ze een juridisch onderbouwde boete uitschrijven

[Reactie gewijzigd door Mugiwaraya op 22 juli 2024 16:41]

Vinnie.1234 @Mugiwaraya27 september 2023 13:45
Daarna moeten ze nog bewijzen dat een bedrijf er van op de hoogte was. Je kunt moeilijk wat melden als je het niet weet :)
Arrow_U @Vinnie.123427 september 2023 14:39
In het ergste geval komen ze erachter omdat het wordt gevonden.

Dan misschien geen boete, maar de gegevenslek heeft nog steeds plaats gevonden en dus een schadevergoeding.

Edit: sterker nog, je zou kunnen stellen dat ze nalatig zijn door niet op de hoogte te zijn van een datalek. Dubbele boete van het bedrag dat ze zouden moeten betalen voor het niet melden.

[Reactie gewijzigd door Arrow_U op 22 juli 2024 16:41]

Thekilldevilhil @Arrow_U27 september 2023 17:23
Dubbel is alleen effectief als de pakkans meer dan 50% is bij verzwijgen. Ik gok zomaar dat dit niet eens 50% is en dan m'n je beter gokken op niet melden. Ik ben altijd wel fan van de formule X*(1/P)*C waarbij:
X = boete bij melden
P = kans dat je gepakt wordt (0 tot 1)
C = factor er bovenop zodat het over lange termijn altijd loont om te melden

Maar ja, wat is de pakkans...
Als die heel laag is krijg je de situatie dat een bedrijf vervolgens failliet gaat. Niet dat dit altijd heel erg is, maar toch.

[Reactie gewijzigd door Thekilldevilhil op 22 juli 2024 16:41]

YopY @Vinnie.123427 september 2023 13:48
True, maar de boete moet blijven, aangezien er toch een onzorgvuldigheid was waardoor de gegevens op straat kwamen te liggen.
Anoniem: 454358 @ReVision.27 september 2023 14:00
verplicht, lol
gewoon niet meer melden, en als er ooit al iemand achter komt, zeg je gewoon dat je van niets wist.
Arrow_U @Anoniem: 45435827 september 2023 14:42
Dubbele boete wegens nalatigheid :)
GertMenkel
@ReVision.27 september 2023 15:45
Ze zijn het verplicht te melden bij het AP, melden aan klanten zelf is weer een ander verhaal. Na een rechtzaak zal de boel alsnog wel naar buiten komen, maar de meeste bedrijven zullen het tot het laatste moment vertikken om hun klanten van details te voorzien.
Tmaster @moonlander27 september 2023 14:04
Ik gebruik voor elk bedrijf een eigen email adres, zodra ik merk dat ik ander soort email ontvang wat niet afkomstig is van dat bedrijf gaat er een mailtje richting AP.
Dat email adres is namelijk alleen bekend bij dat specifieke bedrijf en als ik van iemand anders daarop email ontvang betekent dat maar 1 ding. Dat hun database met email adressen zijn gehackt.
galena @Tmaster27 september 2023 14:27
Dat emailadres staat ook in allerlei logfiles van diverse providers.
Maestro.mosjuh @galena27 september 2023 15:17
Als het een lek is bij je eigen (e-mail)provider, verwacht je dat je op al je custom mailadressen spam ontvangt, dus dat heb je dan snel genoeg door... (daardoor merk / zie / weet je ook of je zelf niet de mailadressen gelekt hebt - als je het zelf zou lekken, merk je dat ook doordat er op alle aliassen spam of fishing oid binnenkomt)

En als dat niet het geval is is er 99,99% kans dat het bij het betreffende partij ligt.

Ervaring leert (ik gebruik zo'n zelfde aanpak nu al meer dan 10 jaar) dat het vooral om (een paar jaar) oude e-mailadressen / aliassen gaat die lekken en spam / fishing ontvangen.
mgizmo @galena27 september 2023 18:14
Wat bedoel je precies @galena ? Kun je wat meer woorden gebruiken ter verduidelijking? diverse providers? mailproviders? internet providers?
moonlander @Tmaster27 september 2023 14:28
Ieder zijn ding natuurlijk, maar wat een overhead aan mailadressen moet je hebben.. En je schiet er niks mee op
Maestro.mosjuh @moonlander27 september 2023 15:12
Nee hoor - gewoon een catch-all op je eigen (mail-)domein, geen overhead of administratie nodig.

Elke keer als iemand een e-mailadres vraagt gewoon een nieuwe verzinnen - bij voorkeur met een uniek nummer (bijv de datum). Ik doe vaak iets van wbshp2709@........com
In veel gevallen hoef je zelf ook nooit met dit mailadres te mailen (je ontvangt wat bestelbevestigingen and thats it).

Ik doe er meestal nog een nummer bij omdat de webshop anders zeggen dat het ook een emailadres zou kunnen zijn dat geraden is (ik heb partijen wel eens op een lek gewezen, maar die ontkennen dan gewoon).
mgizmo @Maestro.mosjuh27 september 2023 18:24
ik had <domein site>.<mijnnaam>@<eigen domein>, maar dat werkt alleen als ik de persoon ben die het invult. Telefonisch of aan een balie kan ik het weer gaan toelichten. Dus ik heb nu maar gekozen voor <eigen initialen><random nummer>@<eigen domein> en dan bijhouden in mijn password database welk nummer bij welke organisatie hoort, welke datum en waarom ik deze "aangemaakt" heb. Het kost inmiddels seconden werk om dit te doen.

Ik wil eigenlijk overstappen naar https://addy.io/, maar het biedt nog net niet wat ik wil (https://github.com/anonaddy/anonaddy/discussions/361).
123barracuda @Tmaster27 september 2023 14:31
Ik doe precies het zelfde, heb daarvoor een korte domeinnaam gekocht, en voor het @ komt bv de naam van de webshop of bedrijf. Bij éénmalig bestellen ideaal, na ontvangst gelijk emailadres verwijderen, krijg je ook geen review mails.
Mijn eigen emailadres weet zo niemand, ik werk alleen met aliassen / specifieke adressen.

Maar, bedrijven moeten het melden, hoe zit het bv als je als partikulier een website hebt, en daar iets lek is? Moet dat ook gemeld worden bij AP?
FONfanatic @123barracuda27 september 2023 23:23
Ja.
Titusvh @Tmaster28 september 2023 10:46
Of een lek bij jezelf...
Als malware/hacker toegang tot je lokale mailbox of een webmail krijgt, dan zijn al je aliassen-per-bedrijf ook gelekt.

Dat zie je dan vaak wel dat ineens dezelfde fishingmails op meerdere van die adressen tegelijk aankomen.

Ik pas dezelfde truc als jij toe. Dus inderdaad naar een bedrijf gemaild dat ze een datalek hadden. Binnen 5 minuten een mail terug dat ze het hadden onderzocht en niet aan hen lag.... Yeah, right. Toen inderdaad melding AP.
joker1977 @Arrow_U27 september 2023 13:29
lees: Gemiddelde webshop is failliet in het geval van een datalek, dus prijzen gaan gigantisch omhoog, concurrenten in het buitenland hoeven het niet.. gefeliciteerd je helpt een prima industrie-tak om zeep geholpen zonder dat er echt iets gaat veranderen.

Ofwel volstrekt kansloos voorstel.
Andros @joker197727 september 2023 13:38
Tenzij je het gewoon meteen Europees regelt. EU wetgeving (en uiteraard fatsoenlijke handhaving) lost dat probleem ook weer op, de EU is een te grote kapitaalkrachtige markt om als bedrijf te negeren.
joker1977 @Andros27 september 2023 15:27
Voor bedrijven die zich specialiseren in kleine goedkope spullen is het vooruitzicht van een miljoenen-boete op basis van iets wat ze vaak niet zelf in beheer hebben (immers: geen core-business) een best goede manier om ze volledig te doen stoppen.

Als je als klein bedrijf bv. een klantenbestand hebt van 10.000 mensen die gemiddeld voor minder dan een tientje een.. horloge-bandje of mondkapje hebben besteld dan ga je toch niet serieus overwegen om die mensen voor 25X hun omzet te beboeten ? Dat is toch volstrekt te ver gezocht.

En ja, dat soort idiote (want dat is het) kun je EU-wide invoeren, het enige wat het veroorzaakt is dat dit soort bedrijven weg gaan en je enkel nog via China en weet ik het dit kunt regelen.
familyman @joker197727 september 2023 20:26
Ik vind deze logica raar.

Een logistiek bedrijf zou ook liever net lang afgeschreven auto's rijden, met chauffeurs die zich niet aan de rijtijdenwet houden, want goedkoop.

We eisen van bedrijven dat ze goed met data omgaan. Dat hebben ze te doen.
Orphu @joker197727 september 2023 13:39
Concurrenten buiten de EU bedoel je? Binnen de gehele EU gelden ongeveer dezelfde regels vanuit de GDPR.
mjtdevries @Orphu27 september 2023 14:18
Wat denk je dat mensen doen als de prijzen op amazon.com beduidend lager zijn dan amazon.nl en amazon.be door dergelijke wetten?
Er zijn nu al vergelijkingssites voor amazon.
Techman @Arrow_U27 september 2023 13:56
Het gaat in mijn ogen net wat te ver om ondernemers boetes te laten betalen voor de misdaden van criminelen. Na een hack verplicht moeten investeren in je security vind ik redelijker klinken en wat constructiever.

[Reactie gewijzigd door Techman op 22 juli 2024 16:41]

Arrow_U @Techman27 september 2023 14:53
Ze voelen zich verantwoordelijk genoeg om mijn gegevens te vragen, dan zijn ze ook verantwoordelijk genoeg om die te beschermen.

“Verplicht investeren in security” is veel te lastig om vorm te geven.
com2,1ghz @Arrow_U27 september 2023 13:29
"Meneer voor contact kunt u een brief schrijven. Oh waarom dit niet met een online formulier kan? Dat komt omdat wij anders risico lopen op een schadeclaim. We reageren binnen 14 dagen per post".

Dit is gewoon shit happens en klaar. Vanwege nalatigheid kunnen ze op de vingers getikt worden. Komt het vaker voor dan kunnen ze daarvoor beboet worden.

10 jaar terug werden bedrijven om de haverklap gehacked en ingebroken en was het niet spectaculair. Heb bij een bedrijf gewerkt waar persoonsgegevens en betalingsgegevens uitgelekt waren. Een complex oud systeem wat uitgefaseerd moest worden, maar toch nog gekoppeld was aan de database.

Als het gebeurt zou er eigenlijk een verplichte audit gedaan moeten worden met de vraag of al die gegevens wel noodzakelijk waren. Voor de rest alles wat aan het internet hangt is potienteel hackbaar. En als het nu niet te hacken is dan is dat later wel.

Anders gaan we Amerikaanse praktijken krijgen hier.
argonvex @com2,1ghz27 september 2023 13:32
Leuk voorbeeld, maar je hebt gewoon een wettelijke verplichting een contactmogelijkheid te bieden zonder dat soort kunstmatige drempels. Dus alles per post laten lopen met een reactietijd van 14 dagen kom je niet mee weg.
!GN!T!ON @argonvex27 september 2023 13:52
In welke wet staat dat dan?
Arrow_U @com2,1ghz27 september 2023 14:49
Prima, mogen ze ook 200 extra administratief en klantenservicemedewerkers in dienst nemen om al die briefpost af te handelen. De hele administratie mag dan namelijk ook weer over op papier. Er is natuurlijk geen enkel bedrijf dat dit gaat doen.


Dit kan tevens mensen stimuleren om iets in een fysieke winkel te halen, wat dan weer een ander probleem oplost. Dan kun je gewoon langsgaan als er iets aan de hand is.
Gert @com2,1ghz28 september 2023 01:59
Inderdaad, voor vragen over je abonnement bij Arriva kun je in de rij gaan staan op het station. Via de website? Nee dat doen we maar niet meer.
We eisen ook maar dat bedrijven van alles digitaal aanbieden, zelfs de vuilnisdienst heeft een app tegenwoordig. Dat kan een keer mis gaan...
bytemaster460 @Arrow_U27 september 2023 13:48
De schade is lastig te bepalen. In de meeste gevallen hebben mensen geen enkele schade door een lek. En als bedrijven straks risico lopen op duizenden euro's schadevergoedingen, tonnen of miljoenen gaan ze het zekere voor het onzekere nemen en mag je alles weer per brief gaan versturen met doorlooptijden van enkele weken voor een simpel antwoord.
Arrow_U @bytemaster46027 september 2023 14:51
Als de schade lastig te bepalen is, gooi je er een vast tarief op. Het opzetten van een papieren klantenserviceafdeling net als het afhandelen van alle papieren administratie is op de lange termijn natuurlijk veel te duur.
bytemaster460 @Arrow_U27 september 2023 15:01
Als individuele schade lastig te bepalen is bepaalt bijv. ACM de boete en die gaat gewoon naar de staatskas. Als je echt aantoonbare schade hebt geleden kun je die via een civiele procedure verhalen.
Arrow_U @bytemaster46027 september 2023 15:07
Aantonen is alleen erg lastig. Je gegevens zijn misschien wel door 8 instanties gelekt tegenwoordig.

Vast tarief lijkt mij de meest realistische optie.
bytemaster460 @Arrow_U27 september 2023 15:17
Zo werkt het gewoon niet. Geen schade, dan ook geen schadevergoeding.
Luchtbakker @Arrow_U27 september 2023 14:07
Daarmee ga je situaties creëren dat bedrijven niet gaan melden. Dat wil je ook niet. Al ben ik het volledig met je eens.
Arrow_U @Luchtbakker27 september 2023 14:54
Dan kun je ook situaties creëren waar niet melden nog veel enger is dan schadevergoeding betalen.
n9iels @Arrow_U27 september 2023 14:20
Kijken of ze dan nog steeds zo laks omgaan met beveiliging.
Ik weet 100% zeker dat geen enkel bedrijf bewust laks omgaat met beveiliging van persoonsgegevens. Als er iets lekt, is dat hoe dan ook reputatieschade. Lekken gebeuren veelal door bugs of menselijk falen. Beide factoren zul je altijd blijven houden. Een schadevergoeding is dan dus ook totaal geen incentive en zal er echt niet voor zorgen dat dit ineens niet gebeurd.

[Reactie gewijzigd door n9iels op 22 juli 2024 16:41]

Arrow_U @n9iels27 september 2023 14:41
Ergens niet “bewust” laks mee omgaan is niet hetzelfde als pro-actief iets proberen te voorkomen.
GertMenkel
@Arrow_U27 september 2023 15:52
Als je hier schade aan overhoudt, is de rechtzaak makkelijk gewonnen. Het is niet makkelijk om daar een getal aan te hangen, maar als deze informatie bijvoorbeeld gebruikt wordt om bankfraude in jouw naam uit te voeren, kun je (een gedeelte van) de daaruit volgende kosten claimen.

In de praktijk is je BSN een tientje waard op internet, als daar ook adresgegevens en dergelijke bij zitten. Zoveel is een datalek nou eenmaal niet waard.

Het AP zal met een boete komen als ze inderdaad nalatig zijn geweest, dat is de manier waarop aandacht aan beveiliging wordt geattendeerd. Tot 4% van wereldwijde omzet is daar de maximum van voor bedrijven van deze grootte, al moet je wel heel dom of kwaadaardig zijn geweest om daarmee getroffen te worden.
TRDT @Arrow_U27 september 2023 16:15
Eens met het idee van schadevergoedingen. Dat de waarde van privacy moeilijk te kwantificeren is, betekent niet dat het waardeloos is.

Maar €250 is wel een beetje veel. Voor dit datalek zou de rekening dan €48.750.000 zijn geweest. Dat is te fors.

Er zou (zoals bij alimentatie) een "draagkracht" kunnen worden berekend: een maximaal bedrag dat per jaar aan schadevergoedingen kan worden afgestaan zonder de continuïteit van de onderneming in gevaar te brengen. Bijvoorbeeld op basis van omzet, brutowinst en/of nettowinst. Dan kan dat bedrag jaarlijks verdeeld worden onder de gedupeerden. Zo gaat de onderneming niet failliet, maar komen aandeelhouders zonder winst te zitten.
Arrow_U @TRDT27 september 2023 18:00
Qua uitvoering inderdaad een goed voorstel. Ik denk dat een vast bedrag makkelijker te bepalen is. 20.000 klanten in je gelekte bestand? 20.000x€<bedrag schadevergoeding>. Hoe hoog dat dan ook moge zijn. Anders moeten er weer mensen aan te pas komen om te berekenen hoe veel je exact moet betalen.

Misschien interessant om vaste tarieven op te stellen op basis van welke gegevrns gelekt worden? e-mail adres €10, BSN €50, naam erbij? €50 extra etc etc.

Nationaliseer het gelijk, of misschien zelfs op EU basis, zodat je voor al je gelekte gegevens op èèn website schadevergoeding kunt claimen. De omschrijving van een comment hierboven vond ik wel mooi. Zorg ervoor dat bedrijven allergisch worden voor gegevens, en ze bang zijn om te veel gevoelige informatie op te slaan. Misschien slaan ze dan ook daadwerkelijk enkel op wat ze nodig hebben.
Nique de Graaff @Arrow_U28 september 2023 09:03
En jij denkt dat ze dat niet zullen doorberekenen naar de klant? Zo wordt het OV nóg duurder. Want er moeten buffers worden aangelegd.
Arrow_U @Nique de Graaff28 september 2023 10:36
Buffers moeten er sowieso worden aangelegd.
Aiii 27 september 2023 13:07
met name in het noorden en oosten van het land bus- en treinverbindingen heeft
Het is okee Tweakers, wij Limburgers zijn inmiddels gewend om genegeerd te worden door de randstedelijke media ;)

Jokes aside. Waarom moest dit contactformulier adres- en geboortegegevens hebben? Voor een wedercontact lijkt een naam en ofwel een e-mail of telefoonnummer (niet per se beide) voldoende. Het is tijd dat bedrijven eens heel nauw gaan controleren wat voor gegevens ze vragen, waarom ze die vragen, en of dat wel nodig is.

Zelfs al zou na contact blijken dat er meer gegevens nodig zijn, dan hoeft dat nog niet in de permanente (gezien de hoeveelheid verwacht ik dat we het hier over een of meerdere jaren aan verzamelde data hebben) opslag bewaard te worden, toch?
lenwar
@Aiii27 september 2023 13:19
Krijgen "jullie" een keer aandacht is het weer niet goed!! ;-)

Maar inderdaad. Het zijn terechte vragen. Ik weet niet wat de aard van het contactformulier was. Ik zou in elk geval om eerlijk te zijn, geen reden kunnen bedenken waarom een OV-bedrijf een geboortedatum nodig heeft voor een contactformulier.
Het zal toch niet zo zijn dat een 15-jarige anders benaderd zal worden bij een serieuze vraag dan een 25-jarige of een 70-jarige?
nandervv @Aiii27 september 2023 13:28
Limburg is ook het oosten toch? Sure, ook zuiden, maar ook oosten :).

Je kan o.a. via het contactformulier geld terug vragen voor de stakingsdagen (als abonnee), en dan willen ze genoeg info hebben om te weten dat het om de juiste persoon gaat.
Patrick_Wolf @nandervv27 september 2023 14:25
Misschien dan je abonneenummer (of klantnummer) vragen en het terugstorten op het bij hun bekende rekeningnummer waar het abonnementen mee betaald wordt?

Eigenlijk zou de eerste vraag kunnen zijn: Ben je klant?

Bij 'Ja' vragen ze om je klantnummer en je boodschap
Bij 'Nee' vragen ze om je naam en emailadres of telefoonnummer en je boodschap

Hiermee kunnen ze dan toch elke vraag beantwoorden of eventueel om vervolginformatie vragen in een mail/telefoontje zonder nog meer gegevens op te slaan.
Andros @Aiii27 september 2023 13:42
Arriva rijdt ook in west-Brabant, ze vergeten wel meer plaatsen ;) . Randstedelijk probleempje, niet teveel van aantrekken en gewoon blijven denken aan dat nummer van Rowwen Hèze toch :) ?
Heaget 27 september 2023 13:05
Misschien zit ik er helemaal naast. Maar ik heb bij heel veel bedrijven het gevoel dat ze heel nonchalant met dit soort datalekken om gaan. Meer zo van, ja het is gebeurd, we hebben iedereen een mailtje gestuurd, dit gebeurd nu eenmaal, en door met de orde van de dag..

Daarnaast heb ik het gevoel dat veel bedrijven liever een keertje het boetekleed aantrekken na een datalek, dan er actief mee bezig zijn om het te voorkomen...
lenwar
@Heaget27 september 2023 13:09
Ik snap dat het zo voelt, maar van wat ik er van begreep, is dat ze nu ook tekst en uitleg moeten geven aan de AP en zo. Ze moeten dit verder uitzoeken (en uiteraard verhelpen). Ze zullen nu ook moeten onderzoeken of en wiens data is uitgelekt. Ze hebben nu alleen uitgevonden dat het mogelijk was. Niet dat er daadwerkelijk data is uitgelekt.

N.B. Ik praat het uiteraard niet goed hè? :)
Dragony @Heaget27 september 2023 13:47
gebeurt*
Tmaster @Heaget27 september 2023 14:07
We hebben hiervoor het AP> Autoriteit Persoonsgegevens die hier bedrijven een boete voor mogen/moeten geven.
Wat ik ergelijk vind is dat deze boetes dus de staatskas (?) verdwijnen ipv dat het terug gaat naar de werkelijke slachtoffers. De gebruikers wiens persoonsgegevens op straat zijn beland.

[Reactie gewijzigd door Tmaster op 22 juli 2024 16:41]

SniperEye 27 september 2023 13:09
Ik vertrouw contactformulieren per definitie niet. Ik kan aan de buitenkant niet zien of de communicatie veilig verloopt. Zo nam ik recent contact op met 1Password om een mogelijk veiligheidsprobleem probleem te melden. Je moet dan ook een mailadres opgeven. Ik heb daarbij een ander mailadres opgegeven dan welke ik gebruik als inlog voor 1Password (welke uniek is en enkel daarvoor gebruikt wordt).
moonlander @SniperEye27 september 2023 13:15
En waarom post je dan nog wel reacties op tweakers? Zijn die wel te vertrouwen?
SniperEye @moonlander27 september 2023 13:21
Ik schrijf toch dat ik een uniek mailadres gebruik? Misschien heb ik dat ook wel voor Tweakers ingesteld…
moonlander @SniperEye27 september 2023 13:22
Wat wil je daarmee bereiken dan?
Andros @moonlander27 september 2023 13:40
In geval van lek blijft het lek alleen bij die website. Velen gebruiken hetzelfde mailadres en eventueel wachtwoord op allerlei plaatsen. Als er ergens een lek is kan de "hacker" diezelfde gegevens ineens op andere plekken proberen die schadelijker zijn. E-mails lezen, zooi bestellen (want die ingevulde creditcard gegevens op grote webshops zijn toch praktisch nietwaar) en ga zo maar door. Op zich niet onverstandig om het wat te spreiden :) .
Accretion @Andros27 september 2023 13:54
Eigenlijk zou je per website een andere 'identiteit' moeten hebben, ander mailadres, andere betaalgegevens, andere geboortedatum, naam, woonplaats e.d.

En deze details dan bewaren in een soort password manager.

Durf alleen niet te zeggen of dat überhaupt legaal is?
Christoxz @SniperEye27 september 2023 13:22
een mogelijk veiligheidsprobleem
Zou toch even een mail sturen naar security@agilebits.com, ipv een contactformulier.
De kans dat het bij de juiste personen terecht komt, is toch een stuk lager via een regulier contactformulier

Als je een POC hebt, kan het ook via https://bugcrowd.com/agilebits
engessa @SniperEye27 september 2023 13:48
Ik beschouw dat een beetje als het minimale wat je moet doen. Overal een uniek emailadres en wachtwoord gebruiken. Ik zou het liefst ook overal een unieke gebruikersnaam verzinnen maar dat werkt vaak moeilijker omdat je huidige gebruikersnaam niet te wijzigen is.
Godjira 27 september 2023 13:18
In 2021 ben ik 1x met Arriva op reis geweest, voor werkelijk 20 minuten in een bus van Landal Stroombroek naar Doetinchem. Hebben ze nu nog in het bestand zichtbaar dat ik contact gehad heb met hun Chat service destijds, voor een vraag? Jeetje... 2 jaar na dato en dan nog dat soort gegevens hebben vind ik toch ook wel wat van :-O

PS) Ik heb de genoemde e-mail dus ook ontvangen

[Reactie gewijzigd door Godjira op 22 juli 2024 16:41]

John Doos @Godjira27 september 2023 13:29
Stuur een mailtje naar Arriva en vraag hierbij naar de motivatie van hun lange bewaartermijn.
https://www.autoriteitper...aren-van-persoonsgegevens
"Vastleggen bewaartermijnen

Leg de bewaartermijnen en uw onderbouwing vast (waarom heeft u voor een bepaalde bewaartermijn gekozen?). Bijvoorbeeld in uw privacybeleid. Dan kunt u zich verantwoorden wanneer de Autoriteit Persoonsgegevens (AP) ernaar vraagt. De AP beoordeelt onder andere of uw onderbouwing redelijk is. En of u de bewaartermijn inderdaad zo kort mogelijk houdt, gelet op het doel van de verwerking."
PS.
https://www.arriva.nl/disclaimer/
"Aansprakelijkheid

Wij sluiten alle aansprakelijkheid uit voor (vermeende) directe, indirecte of andere schade, die voortvloeit uit het gebruik van deze internetsite, het gebruik van informatie die via onze internetsite is verkregen of de onmogelijkheid om onze internetsite te kunnen raadplegen."

[Reactie gewijzigd door John Doos op 22 juli 2024 16:41]

xiphoid 27 september 2023 13:18
Wanneer gaan bedrijven eens schadevergoeding betalen voor het belachelijke 1995 gedrag van beveiliging waar ze bewust voor kiezen?
CH4OS
27 september 2023 13:25
Gelukkig maar dat eea wat strenger is geworden met de AVG/GDPR. Ik vraag mij nog steeds af waarom je voor een (simpel?) contactformuliertje een veld zou moeten hebben om de geboortedatum te vragen...
123barracuda @CH4OS27 september 2023 14:43
En bij alleen contact, waarom dan niet een geboortedatum verzinnen, ze doen er wellicht toch niets mee...
CH4OS
@123barracuda27 september 2023 14:45
Omdat onder AVG/GDPR het alleen toegestaan is om het minimale aan gegevens te vragen? :? En geboortedatum lijkt me niet een gegeven dat zinvol is bij contact met welke partij dan ook? Dat er omheen te werken is, betekend niet dat je dan zomaar maar alles mag vragen.

[Reactie gewijzigd door CH4OS op 22 juli 2024 16:41]

CPV 27 september 2023 13:30
Opvallend is dat Arriva uitsluit dat dat het enige datalek is dat er heeft plaatsgevonden.
Er zijn dus meerdere datalekken gevonden 2 x - = +.
Of had de zin anders gemoeten?
123barracuda 27 september 2023 14:41
Of het legaal is maakt mij niet zoveel uit. Ik doe dat juist. Ik bestel altijd onder een andere naam, behalve, als ik mij voor een pakje bv moet legitimeren, dan " vergeet" ik spontaan een letter in mijn echte achternaam. Tikvoutje zeg ik dan....kan gebeuren.
Dus en uniek emailadres + niet echte naam, is een stapje in het proberen te voorkomen van narigheid. Doe dit al jaren, en nog geen politie aan de deur gehad, tenminste, niet daarvoor....
THETCR 27 september 2023 15:14
Het is niet het formulier zelf. De front-end lekt geen data.

In dit geval is het de API call of de backend server route zelf.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq