'Lek op website NMBS blijkt veel groter'

Een datalek op de website van de Belgische spoorvervoerder NMBS dat toegang gaf tot persoonsgegevens van treinreizigers zou veel groter zijn dan gedacht. Het gaat mogelijk om data van 1,5 miljoen NMBS-klanten die vermoedelijk wekenlang vrij toegankelijk waren.

Vorige week zaterdag werd bekend dat de NMBS-website een datalek bevatte nadat een internetgebruiker op een forum een link had gepost die verwees naar een pagina met klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een datalek met een beperkte omvang. Ook zou het privacylek de fout zijn van een slordige NMBS-medewerker.

Het lek op de site van de Belgische spoorvervoerder zou echter veel groter zijn dan eerder gedacht, zo meldt De Tijd. Volgens de krant zouden er 1,46 miljoen records vrij zijn op te vragen, al zou het bij een deel mogelijk om duplicaten gaan. Het is waarschijnlijk dat er al kopieën van de klantgegevens in omloop zijn.

De NMBS erkent inmiddels dat het gaat om zeker 'enkele honderdduizenden' gegevens die met de juiste link vrij toegankelijk waren. Daarnaast heeft de spoorvervoerder publiekelijk excuses gemaakt: 'De privacy van onze klanten is voor ons een prioriteit,' aldus de woordvoerder van de NMBS. Het spoorbedrijf claimt dat zijn websites jaarlijks via een audit op veiligheid worden gecontroleerd maar belooft naar aanleiding van het incident verdere maatregelen te treffen.

Door Dimitri Reijerman

Redacteur

Feedback • 29-12-2012 10:41
33 • submitter: clannad

29-12-2012 • 10:41

33 Linkedin

Submitter: clannad

Lees meer

Belgische overheidssite voor verkeersboetes bevatte privacylek Nieuws van 26 september 2017
Belgische Spoorwegen gaan treinen uitrusten met wifi Nieuws van 4 juli 2014
Mogelijk juridisch onderzoek naar datalek Belgische spoorvervoerder Nieuws van 29 april 2013
Gerucht: datalek NMBS kwam door medewerker die op 'verkeerde knop' drukte Nieuws van 4 januari 2013
Belg bouwt 'leak checker' voor NMBS-datalek - update Nieuws van 2 januari 2013
Mobiele ov-site iRail komt weer online Nieuws van 6 juli 2010
Demissionair ict-minister steunt iRail tegen Belgische Spoorwegen Nieuws van 25 juni 2010
Belgische spoorwegmaatschappij verbiedt deeplinken naar haar site Nieuws van 22 juni 2010
Belgische Spoorwegen laten hobbyist stoppen met mobiele ov-site Nieuws van 17 juni 2010
Belgische senator: vervang machinist door computer Nieuws van 9 maart 2010
NMBS wil wifi in trein enkel invoeren met partnerbedrijven Nieuws van 25 oktober 2009
Belgacom verkoopt Scarlet-netwerk aan NMBS-dochter Syntigo Nieuws van 5 juli 2009
NMBS koppelt e-ticket aan elektronische identiteitskaart Nieuws van 5 juni 2009
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (33)

-Moderatie-faq
33
32
22
2
0
2
Wijzig sortering
brommer
29 december 2012 14:46
Ter info een linkje naar het forum waar het gat gevonden werd: http://forum.adsl-bc.org/viewtopic.php?t=81972.
Blokker_1999
29 december 2012 15:14
Het bestand noemt emailvision.txt . Wanneer je in google zoekt naar emailvision kom je bij een frans marketing bedrijf uit gespecialiseerd in SaaS software voor marketingdoeleinden. Het lijkt me dus dat deze lijst bedoeld was om massmailings mee te versturen. Hoewel een tekstbestand idioot is om zulke data uit te wisselen met je onderaannemer blijft de vraag natuurlijk hoe zijn zoekmachines aan die link geraakt? Het lijkt me niet dat de NMBS of emailvision ergens publiekelijk linken naar deze lijst.

[Reactie gewijzigd door Blokker_1999 op 29 december 2012 15:17]

litemotiv
29 december 2012 11:43
'De privacy van onze klanten is voor ons een prioriteit,' aldus de woordvoerder van de NMBS.
Eh, niet dus.

Ik snap niet dat je dat publiekelijk durft te zeggen, als het tegendeel net bewezen is...
Blokker_1999
@litemotiv29 december 2012 12:10
Maak jij nooit geen fouten? Of is elke fout die gemaakt word altijd ook direct zichtbaar en opspoorbaar? Het ene moet het andere echt niet uitsluiten.
huntedjohan
@litemotiv29 december 2012 13:44
jeetje zeg. hoe kortzichtig kun je zijn. dat het een prioriteit is betekent toch niet vanzelf ook geen fouten? als het waar is dat hun site geregeld gechecked word bewijst hij dat het wel prio heeft.

misschien vaker als 1x per jaar een check uitvoeren zou het wellicht kunnen voorkomen.
Alpha89
29 december 2012 10:52
Ik heb zo'n idee dat dit soort gevallen pas puntjes van de ijsberg zijn... We komen dadelijk handen tekort met data-diefstal. Hebben we straks genoeg agenten op de straat, hebben we er te weinig achter de computer...

Daarnaast zouden bedrijven verplicht moeten worden om een data security audit uit te laten uitvoeren. Bijvoorbeeld 1 keer per jaar. Maarjah... wie gaat dat doen?!?
Damic
@Alpha8929 december 2012 11:02
Die audit doen ze blijkbaar al maar wanneer en wat word er nagekeken, juist na een grote site update of gewoon random moment en doen de spoorwegen daarna een update en komen er dan lekken in????
Boozman
29 december 2012 11:06
Veiligheid van gegevens is een continu proces waar je als bedrijf / vereniging (maar ook als persoon) doorlopend bewust mee moet omgaan. 1 keer per jaar een security audit is natuurlijk een goed begin (ligt er wel aan wat voor soort security audit het is trouwens; je kan ook software kopen die een security audit uitvoert), maar ergens in de 12 maanden erna wordt er op verzoek van een marketeer een optie toegevoegd, waarna dat "venster" dus een tijdje open blijft staan. Eigenlijk zou na het toevoegen van een extra optie (programma code dus) de security audit opnieuw moeten worden gedaan.

Bewustwording van veiligheid moet bij iedereen liggen; van programmeur tot marketeer en gebruiker. Komt vanzelf wel, zolang tweakers, webwereld en nu.nl maar artikelen hierover blijven publiceren en het af en toe op het 8 uur journaal is :)
v-c
@Boozman29 december 2012 11:22
Lekken zullen altijd plaatsvinden. (met of zonder opzet)

Belangrijk is niet te vergeten dat we een maatschappij gecreëerd hebben waarin de informatie die vrij komt waarde heeft om te misbruiken.
Als we zorgen dat de informatie geen waarde meer heeft creëert het ook geen problemen meer.

10/20 jaar geleden stond de achterdeur bij iedereen open (dorp waar ik woonde iig wel) omdat de kans op diefstal minimaal was en de buurt mekaar goed kende. Schaarste was in sommige opzichten minder aanwezig dan nu. Tegenwoordig moet alles op slot omdat anders je hele huis leeggeroofd wordt en dit zal naarmate de crisis toeneemt drastisch toenemen. (tenzij het via internet of andere wegen makkelijker is om aan geld te komen)

[Reactie gewijzigd door v-c op 29 december 2012 11:23]

Jack77
29 december 2012 11:53
Boozman geeft het ergens al aan:
- sommige bedrijven trekken het zich enkel aan als ze er negatieve "publiciteit" door krijgen
- veel consumenten trekken het zich pas aan als ze er persoonlijk nadeel van ondervinden. Voor de rest zal privacy hen worst wezen.
Spast
29 december 2012 11:59
Op de website van de Belgische krant De Morgen wordt gemeld dat de persoonsgegevens zelfs geïndexeerd zijn geworden door crawlers van zoekmachines zoals onder andere Google en dat de NMBS achter de persoon gaat die het lek kenbaar gemaakt heeft.

http://www.demorgen.be/dm...5-miljoen-reizigers.dhtml

Naar mijn mening mogen er financiële gevolgen aan het wanbeheer van persoonsgegevens gekoppeld worden. Jij zelf doet vaak de grootste moeite met geen privé-informatie online te zetten, maar er hoeft slechts 1 lek te zijn dat het verpest.

Eventjes terzijde: Was er laatst ook niet een lek van persoonsgegevens binnen de Nederlandse medische dossiers of iets dergelijks? Of vergis ik mij hierin?

[Reactie gewijzigd door Spast op 29 december 2012 12:06]

ieperlingetje
29 december 2012 12:39
Verbaast me niet dat er lekken blijven gevonden worden, maar de laksheid van sommige bedrijven valt me wel zwaar. Zo heb ik zelf vorig jaar in oktober een lek gemeld (zie dit topic [website] beveiligingslek gemeld, geen verbetering. Welnu, dat lek bestaat nog steeds, men zal het nu in januari oplossen.
Sir_Eleet
29 december 2012 12:43
Over welke klanten gaat dit precies? Alle klanten vanaf een bepaalde datum? Klanten van een bepaalde service? Als ik een trein abonnement had in 2011, zit ik hier dan ook bij? Ik heb geen flauw idee hoe groot het totale klantenbestand is, of grofweg hoeveel abonnees er zijn...

Dan de tweede vraag.. WELKE gegevens zijn er allemaal gelekt?

[Reactie gewijzigd door Sir_Eleet op 29 december 2012 12:45]

PowerToTheUsers
@Sir_Eleet30 december 2012 10:11
Het was origineel van b-europe.com, dus vooral van mensen die een Thalys, Eurostar, ICE,...-ticket reserveerden.
Maar inderdaad een goede vraag: "over welke klanten gaat dit precies". Ik zou ook graag weten of mijn gegevens op die lijst staan... Is er een manier om dit te checken? Bijvoorbeeld een lijst van de gelekte klantennummers?

Eigenlijk zou dat bij elk lek van gegevens een standaard mogelijkheid moeten zijn: kunnen checken of jouw gegevens er bij zijn, zodat je zelf de nodige maatregelen kan nemen.
Tomsworld
29 december 2012 13:20
Ik hoop dat de nmbs de moeite doet om de getroffen reizigers persoonlijk te informeren, ik veronderstel dat ik daar zelf ook wel zal bijzitten. Ik heb een abonnement, al meerdere keren een vraag gesteld via de website, abonnement verlengd en tickets gekocht.

Tsja wat loopt er niets mis bij de nmbs / infrabel.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee