Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Lek op website NMBS blijkt veel groter'

Door , 33 reacties, submitter: clannad

Een datalek op de website van de Belgische spoorvervoerder NMBS dat toegang gaf tot persoonsgegevens van treinreizigers zou veel groter zijn dan gedacht. Het gaat mogelijk om data van 1,5 miljoen NMBS-klanten die vermoedelijk wekenlang vrij toegankelijk waren.

Vorige week zaterdag werd bekend dat de NMBS-website een datalek bevatte nadat een internetgebruiker op een forum een link had gepost die verwees naar een pagina met klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een datalek met een beperkte omvang. Ook zou het privacylek de fout zijn van een slordige NMBS-medewerker.

Het lek op de site van de Belgische spoorvervoerder zou echter veel groter zijn dan eerder gedacht, zo meldt De Tijd. Volgens de krant zouden er 1,46 miljoen records vrij zijn op te vragen, al zou het bij een deel mogelijk om duplicaten gaan. Het is waarschijnlijk dat er al kopieën van de klantgegevens in omloop zijn.

De NMBS erkent inmiddels dat het gaat om zeker 'enkele honderdduizenden' gegevens die met de juiste link vrij toegankelijk waren. Daarnaast heeft de spoorvervoerder publiekelijk excuses gemaakt: 'De privacy van onze klanten is voor ons een prioriteit,' aldus de woordvoerder van de NMBS. Het spoorbedrijf claimt dat zijn websites jaarlijks via een audit op veiligheid worden gecontroleerd maar belooft naar aanleiding van het incident verdere maatregelen te treffen.

Door Dimitri Reijerman

Redacteur

29-12-2012 • 10:41

33 Linkedin Google+

Submitter: clannad

Reacties (33)

Wijzig sortering
Ze zouden zoiets als dit strafbaar moeten maken. Er lekt te veel
Waar gaat dit heen ?
Als het om persoonsgegevens gaat, dan is er een plicht om de gegevens "voldoende veilig" op te slaan. Het probleem is dat de grens heel erg vaag is. Bovendien is die plicht gekoppeld aan de "gevoelige" gegevens. Dingen als leeftijd, geslacht, afkomst, politieke voorkeur, ... De vraag is dus in hoeverre de NMBS die gegevens heeft en bewaart.
Ze hebben toegang tot best wel veel gegevens:
- naam, geboortedatum, adres,... van mensen met een abo
- naam, rekeningnummer/bankkaart nummer van mensen die online een ticket gekocht hebben
- visakaart nummer van mensen die met visa tickets kopen

Ik weet niet welke gegevens er juist gelekt zijn, maar de nmbs heeft zeker genoeg gevoelige informatie over hun klanten.
Ik denk niet dat ze betaalinformatie hebben van hun klanten. De betalingen gaan nl. via Ogone, die op zijn beurt connectie maakt met de internet banking van de gekozen bank.
Je kan ook via de automaten in stations en bij de conducteur betalen, wat ze daarvan opslaan weten ze natuurlijk alleen zelf.

Ik zeg niet dat ze alle data opslaan die je (eventueel onrechtstreeks) geeft, maar de mogelijkheid is er wel.
Omdat men te haastig een systeem moet ontwikkelen om de kosten te beperken.
Hierdoor zien programmeurs dingen over het hoofd, terwijl er tijd nodig is om het goed te kunnen ontwerpen, testen en uitvoeren. Concurrentie mag wel de prijs in strijd trekken maar het gevolg is dat de kwaliteit omlaag schiet.

Dus waar gaat het heen? half werk
Het kan natuurlijk ook om een eenvoudige vergissing gaan. Ik weet niet hoe deze gegevens juist ter beschikking werden gesteld, maar als ik kijk hoe goed de beveiliging in orde is bij de meeste informatica projecten binnen de NMBS verbaasd het mij dat dit is gebeurd.
Of kan het zijn dat de beslissingsnemers over de software over te weinig kennis beschikken en de makers verplichten tot ontwikkelingen die contraproductief zijn? Of elk voorstel afwimpelen wat niet direct in hun kraam past?

Of ontwikkelt de overheid de software zelf en zijn de projectleiders, de architecten of de ontwikkelaars te weinig competent of gemotiveerd? Of laten ze eigen belangen voorgaan op de kwaliteit van het product?

En kent het hoofd van de IT afdeling nog wel zijn infrastructuur, vaak een patchwork van (nood)oplossingen.

Bij de overheid (en in een aantal privébedrijven) loopt veel mis...

[Reactie gewijzigd door Jack77 op 29 december 2012 11:50]

Ze zouden zoiets als dit strafbaar moeten maken. Er lekt te veel
Waar gaat dit heen ?
Naar de hoogste bieder ;)

[Reactie gewijzigd door Ingcharoth op 29 december 2012 10:46]

Waarom wordt dit weggemod?
ik vrees dat Ingcharoth hier de spijker JUIST op z'n kop slaat!

de enige reden dat deze gegevens interessant zijn is omdat er mensen grote zakken geld aan weten te verdienen.

Laten we een fictief scenario nemen van bedrijf X, 200 medewerkers, 50.000 klanten en een kansloze admin.

Nu, wanneer dit bedrijf een scriptkiddie ( wat dit wrs ook gwn is) op bezoek krijgt, en de gegevens zijn niks waard, dan hoor je er niks van. Echter, als we alleen even richting spammers kijken: dan zit je toch al snel op zo'n 50.200 spam adressen, dat voor 30 cent per stuk ( en dan gok ik even op een goedkope spammer) zit je op zo'n ¤15.060.
(Ik verdien ze niet in een paar uurtjes werken)

conclusie: er zitten LOMP grote bedragen in dit soort simpele "hacks" ( echt hacks zijn het natuurlijk niet te noemen)
De originele post ging over iemand die het gewoon had gevonden via Google. Zocht waarschijnlijk op zijn naam of dergelijke dus.
Jawel, maar er werd gevraagd waar dit heen ging. Uiteraard niet letterlijk bedoeld, maar wat we in de toekomst zouden kunnen verwachten. Mijn grap heeft dus helaas een serieuze ondertoon.
Jammer,

Persoonlijk zou ik zelf dit aan de des betreffende organisatie melden, want ik zou het niet fijn vinden dat mijn gegevens op straat zouden komen.
Echter blijkt in de praktijk dat dit wel vaker gebeurd omdat het meer loont om de gegevens door te verkopen dan het bedrijf op de hoogte te stellen.

Misschien moet het niet zo zeer strafbaar gemaakt worden maar een systeem waarbij je beloond word om dit soort zaken te melden. Iets alla achievements in de gemiddelde game :)
Een soort vindersloon dus. Maar dan moet je wel oppassen dat de servers niet overbelast raken doordat er continu gezocht blijft worden naar lekken, omdat velen hopen een beloning op te strijken ;)
Wil het management van die bedrijven dit wel weten? Beveiliging kost geld.
Welke dienstverlener gebruiken ze voor de jaarlijkse audit? Die mag weleens scherpere audits gaan doen dan.
Jaarlijkse audits heb je weinig/niks aan in dit soort gevallen. IT systemen zijn "continue" en kunnen van de éne op de andere seconde onveilig worden als er een exploit gevonden wordt in een component waaruit je IT infra bestaat én die exploit wordt niet gemeldt

Hier in NL heb je 't voormalige GovCert en in andere landen heb je daar de lokale varianten van, maar ook die werken eigenlijk alleen maar reactief.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*