Datalek NMBS treft mogelijk 1,5 miljoen reizigers

[Shrek]

De ICT-afdeling zit in een overgangsfase. Officieel moet alles inderdaad nog via de holding gebeuren, maar de NMBS heeft al een eigen ICT afdeling opgericht en is zich al aan het voorbereiden om alles over te nemen. Maar wie wat juist doet is inderdaad momenteel een grote soep

[Retard]

"Al 1.700 klachten en vragen over datalek NMBS"

Bij de Privacycommissie zijn op enkele dagen tijd al zeker 1.700 vragen en/of klachten binnengekomen over het datalek bij de NMBS. Dat zegt Eva Wiertz, woordvoerster van de Privacycommissie.

Bij het datalek van de spoorwegmaatschappij kwamen de persoonsgegevens van 1,46 miljoen NMBS-klanten onbeschermd op het internet te staan. "Na een eerste oppervlakkige telling komen we op 1.700 klachten", zegt Eva Wiertz, "Het zijn niet altijd klachten in strikte zin. Soms gaat het om vragen om informatie of uitingen van ongerustheid."

Google Street View
Volgens de Privacycommissie is het van november 2011 geleden dat er nog zoveel klachten en vragen tegelijk binnenstroomden. "Toen ging het om een driehonderdtal contactnames naar aanleiding van de activiteiten van Google Street View." Het aantal schriftelijke klachten voor het hele jaar 2011 bedroeg 2.866 dossiers.

Morgenvoormiddag ontmoet de voorzitter van de Commissie, Willem Debeuckelaere, de top van de NMBS. Bedoeling is uitleg te krijgen over de oorzaak van het lek, de aard van de gelekte informatie, de maatregelen die de NMBS heeft genomen om lekken te voorkomen en hoe dit in de toekomst vermeden kan worden.

Procureur des Konings
De Privacycommissie onderzoekt het NBMS-lek, maar heeft zelf geen sanctionerende bevoegdheid. "Als de NMBS de privacywet heeft overtreden, dan maakt de Privacycommissie het dossier over aan de procureur des Konings", zegt Eva Wiertz. "Alleen het gerecht kan de NMBS een boete opleggen. Ook het behandelen van schadevergoedingen moet via gerechtelijke weg gebeuren".

[Asterix]

Ook gegevens van militairen gelekt op internet

Nadat eerder al de gegevens van anderhalf miljoen NMBS-klanten openbaar werden gemaakt, is donderdag een telefoonboek van het HR-departement van het leger op het internet gelekt. In het 37 pagina's tellende document staan de rang, de achternaam, de functie, het (interne) telefoonnummer, het bureaunummer en het e-mailadres van goed 500 medewerkers van Defensie.

Om die gegevens te achterhalen gebruikte de blogger de techniek die eind november al gebruikt werd om de gegevens van anderhalf miljoen NMBS-klanten te lekken. Daarvoor moest de NMBS-site of de site van het HR-departement van Defensie niet gehackt worden.

‘Door Google op een specifieke manier te gebruiken, is het soms mogelijk gegevens terug te vinden die anders door een paswoord beschermd worden', zegt de blogger achter de gespecialiseerde site belsec.skynetblogs.be. ‘Als het al mogelijk is om op zo'n eenvoudige manier zulke gegevens terug te vinden, wat betekent dat voor de beveiliging van informatie die nog veel meer gegeerd is? Wat is het belang van een loginsysteem, als het zo makkelijk omzeild kan worden?'

Defensie wil voorlopig nog niet reageren op het lek.

Ik begrijp eerlijk gezegd niet dat bovenstaande nu ook al opeens nieuws is. Het volstaat inderdaad al vaak om wat te 'spelen' met de URL om vanop een publiek toegankelijk websitepagina door te stoten naar de interne pagina's.

Reeds een handvol jaren geleden was er onder die vorm al een groot lek in de website van de federale politie waardoor talloze interne documenten en identiteitsgegevens vrij raadpleegbaar waren. De site is toen enkele weken offline geweest.

Ook op dit eigenste ogenblik is het nog steeds mogelijk om dienstfiches met aangekondigde controles door de federale politie, een overzicht van alle lifinstallaties bij defensie, interne documentatie over de constructie van ASTRID-zendmasten in een handomdraai op te snorren. Herinner u ook de Canvas-uitzending waarin het perfect mogelijk bleek om via het internet de airco/verwarming van grote gebouwen te manipuleren.

[Retard]

NMBS gaat uit van menselijke fout bij datalek

De vertegenwoordigers van openbaarvervoermaatschappij NMBS die vandaag een onderhoud hebben met de Privacycommissie na het datalek, zullen hoogstwaarschijnlijk uitgaan van een menselijke fout aan de basis van het lek. Dat meldt de krant La Libre Belgique vandaag. Volgens de krant zou het intern onderzoek dat de NMBS voert wijzen op een accidentele verspreiding van de gegevens van zowat 700.000 mensen.

Tot dusver ontving de Commissie al 1.700 klachten of informatieaanvragen van betrokken klanten. Na het datalek liet de NMBS een audit uitvoeren om de oorzaak ervan te achterhalen. De resultaten van dat onderzoek zullen vandaag voorgelegd worden.

Volgens La Libre Belgique zou een werknemer ondertussen geïdentificeerd zijn die, zonder kwade bedoelingen, "op het verkeerde moment op een verkeerde knop" zou gedrukt hebben.

[Glodenox]

Verkeerde moment op de verkeerde knop: wat een excuus om mee te lachen. In de eerste plaats is er geen nood om zo'n bestand aan te maken. Als deze lijst diende om mails te sturen voor het nieuwe jaar, heeft men daar enkel naam, voornaam en e-mailadres nodig. Adressen en geboortedata hebben daar niets te zoeken. Ik moet er al niet van weten dat er bij de NMBS mensen zijn die alle data krijgen als ze slechts een subset nodig hebben. Daarnaast hoort dit niet op de website gezet te worden in dat formaat om mails te versturen. Dat het bestand per ongeluk publiek beschikbaar was gezet in plaats van verborgen kan ik nog wel ergens begrijpen (waarschijnlijk is het standaard publiek ingesteld). Het mag niet gebeuren en is een domme fout, maar het is een menselijke fout. Dat men daarna alles nog eens zo veel mogelijk in de doofpot probeert te steken is er voor mij te veel aan. Ik heb ook mij ongenoegen geuit aan de privacy-commissie, ook al weet ik dat het niet zo veel zal uithalen.

Ik besef maar al te goed dat al die gegevens die er zo gelekt zijn reeds publiek op te vragen waren voor mij (als je officieel eigenaar bent van een website is je data beschikbaar in de WHOIS records). Ik ben me daar volledig bewust van en ik doe daar niet onnozel over. Maar die gegevens waren moeilijker te misbruiken op grote schaal, en dat is nu net het grote probleem van deze datalek. Het is al goed dat de NMBS op de hoofdpagina ergens in een verdomhoekje toch een link zet naar een pagina voor meer informatie, hoewel dat in mijn ogen duidelijker aanwezig zou moeten zijn.

[Retard]

Datalek NMBS "door duwen op verkeerde knopje"

"Het datalek bij NMBS Europe is wél veroorzaakt door een menselijke fout", zo bevestigt de NMBS na een onderhoud met de Privacycommissie. Een werknemer zou op een verkeerd knopje hebben geduwd. Het bestand met de gegevens was sinds mei beschikbaar op het internet, wat al duizenden klachten opleverde. De Privacycommissie zelf is nog niet overtuigd en kondigt aan te onderzoeken of dat wel klopt.

Na een intern onderzoekt wordt de oorzaak van het datalek toegeschreven aan een werknemer dieop een verkeerde knop heeft geduwd toen hij een bestand wilde leegmaken waarin de gegevens stonden.

"Om dat te doen, moest hij de gegevens even op een onbeveiligde server plaatsen. Uiteindelijk zijn die gegevens per ongeluk op die onveilige server blijven staan", legt woordvoerster Nathalie Pierard uit.

"Zelf nauwkeurig bestuderen"
"De uitleg die de NMBS ons gegeven heeft, klinkt plausibel, maar wij zullen deze versie, en ook het rapport over het lek dat de NMBS door een consultancybedrijf heeft laten uitvoeren nauwkeurig bestuderen, om te checken of deze versie inderdaad klopt", zegt Willem Debeuckelaere, voorzitter van de Privacycommissie.

Het bestand met de gegevens stond sinds mei online en werd in december ontdekt. De fout is gemaakt bij het uitzuiveren (van dubbels onder andere) van de lijsten van de onlinedienst verkoop en van het call center van NMBS-Europe.

In het document stonden de gegevens van 700.000 klanten van NMBS Europe, die tijdelijk van een beveiligde omgeving naar een onbeveiligde omgeving zijn overgebracht. Verschillende mensen stonden meerdere keren in het bestand, waardoor in totaal 1,4 miljoen gegevens. In de onbeveiligde omgeving waren ze via Google toegankelijk.

Het gaat om namen, adressen en e-mailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht, en niet om informatie over de betaalwijze of de betaalmiddelen.

"De NMBS is dus niet het slachtoffer van een cyberaanval, en het gaat ook niet om een systeemfout", zegt Willem Debeuckelaere. De gegevens werden wel gekopieerd in een nieuw bestand en verspreid via het internet.

Privacy
Volgens de Privacycommissie is er sprake van een schending van de privacy. De commissie zal daarom haar bevindingen overmaken aan de federale procureur. "Het is aan het gerecht om uit te maken of strafrechtelijke vervolging nodig is, en of gebeurlijke schade moet vergoed worden", aldus nog De Beuckelaere.

NMBS-klacht
De NMBS heeft zelf ook het recht om een klacht in te dienen omdat de gegevens gekopieerd werden door een internetgebruiker en verspreid werden.

"We gaan de mensen contacteren die toegegeven hebben dat ze een kopie hebben ontvangen van het bestand en gaan vervolgens bekijken welke juridische opties we hebben indien die mensen de lijst niet willen verwijderen."

Bron: HLN -> http://www.hln.be/hln/nl/957/Binnenland ... opje.dhtml

[kika]

Je zet het woord consultancybedrijf groot. Als dat doelbewust was, kan je dan ook even vertellen wat je er mee wilt vertellen?

[jotie]

Na een intern onderzoekt wordt de oorzaak van het datalek toegeschreven aan een werknemer dieop een verkeerde knop heeft geduwd toen hij een bestand wilde leegmaken waarin de gegevens stonden.

Verkeerde knop? Werken de computers van de NMBS misschien met ponskaarten? Alle gekheid op een stokje, maar men moet mij toch eens uitleggen hoe je met één toetsaanslag of een tikje op de muis (1 hé, geen reeks) zulke blunders kan realiseren. Hier is wel wat meer in de soep gedraaid.

"Om dat te doen, moest hij de gegevens even op een onbeveiligde server plaatsen. Uiteindelijk zijn die gegevens per ongeluk op die onveilige server blijven staan"

Ik geloof mijn ogen niet. 'Eventjes' 1,5 mio records op een onbeveiligde server plaatsen? Komaan, daar slaagt toch alleen iemand in die niet beseft waarmee hij aan het spelen is? Zo'n bestand mag je toch nooit of te nimmer uit een beveiligde zone trekken?

Over die consultancybedrijven zullen we zedig zwijgen... Blijkbaar is er binnen de NMBS dus niemand bekwaam genoeg om zelf op onderzoek uit te trekken?

[Retard]

Je zet het woord consultancybedrijf groot. Als dat doelbewust was, kan je dan ook even vertellen wat je er mee wilt vertellen?

Die consultancybedrijven hebben ons de laatste zes jaar 758 miljoen gekost. Een gedeelte is te rechtvaardigen, maar een gedeelte niet.

[Kristofke]

Een consultencybedrijf inhuren voor dit onderzoek is nog zowat de enige manier om een "objectieve" manier de reden te achterhalen, interne diensten hebben al lang hun paraplu opengetrokken in alle richtingen.

En de spoorwegen kennende zal de persoon zelf er vooral mogen opdraaien ipv de Maatschappij en zijn verantwoordelijken.

[Asterix]

En de spoorwegen kennende zal de persoon zelf er vooral mogen opdraaien ipv de Maatschappij en zijn verantwoordelijken.

En al even typisch is dat men nu met een kanon op die internetgebruikers zal schieten en het eigen falen wegmoffelt als een niemendalletje. Het zal nu opeens allemaal de fout van die bloggers zijn, zie

[Asterix]

De Privacycommissie heeft het dossier over het datalek bij de NMBS doorgespeeld naar het Brusselse parket.

Eind vorig jaar raakte bekend dat gegevens van minstens 700.000 klanten van NMBS-Europa onbeschermd beschikbaar waren op de website van de NMBS-afdeling die instaat voor het internationaal reizigersvervoer.

De Privacycommissie maakt het dossier nu over aan het parket, schrijven De Standaard en Het Nieuwsblad. Dat mag uitzonderlijk genoemd worden. "Voor zover ik weet is het de eerste keer dat we een 'data breach' dossier aan het gerecht doorspelen", zegt Willem Debeuckelaere, de voorzitter van de Privacycommissie.

Volgens Debeuckelaere heeft de NMBS twee artikels uit de privacywet overtreden. Zo werden de opgeslagen gegevens niet genoeg beveiligd. "Iedereen die een database aanlegt, moet zich volgens de wet verzekeren van een 'passend beveiligingsniveau' waarbij rekening wordt gehouden met onder meer de technologische mogelijkheden en de kosten van de beveiliging.

Die beveiliging moet ook in verhouding staan tot de aard van de gegevens en mogelijke risico's", aldus de voorzitter Ook heeft de spoorwegmaatschappij volgens de Privacycommissie het artikel overtreden dat gaat over de eerlijke en rechtmatige verwerking van persoonlijke gegevens. Op de overtreding van die artikels staan geldboetes. (Belga)

[dentheo]

Als "slachtoffer" heb ik enkele weken geleden van de Privacy commissie een pdf gekregen van een brief van de NMBS. (sorry ik had vroeger follow-up beloofd, maar vergeten)
Die NMBS brief droeg eigenaardig genoeg GEEN datum.
In die brief werden aan iedereen de antwoorden gegeven, de naam van de gelekte gegevens, niet de gegevens zelf natuurlijk.

Juist dat had ik enkele maanden geleden al gevraagd aan de NMBS, die ze toen NIET wou geven.
Daarvoor wilden zij in ruil een scan van mijn ID of Paspoort.
Dat heb ik hen tot tweemaal toe GEWEIGERD, gezien zij onbetrouwbaar met mijn gegevens omspringen ga ik hen zeker niet nog meer geven en zeker niet om de naam van gegevens te krijgen.

NMBS management hebben duidelijk laten zien niet in control te zijn. I
Ik had van hen, direct na het bekend worden een rondzend-email met de bevestiging van het gebeuren en excuses verwacht en natuurlijk aanduiding of de creditkaart nummers erbij waren of niet.

Durft zo'n NMBS manager echt de IT directeur niet uitnodigen op zijn bureel en hem diets maken dat er "vandaag nog" een communicatie naar de betroffen klanten moet ?
Zijn die door dezelfde partij benoemd en past dat niet of hoe zit dat. Of lacht de ander hem uit, ge kunt toch niks doen.

Zou een privé firma zulk gedrag aandurven ??? (even bukken , want nu worden er weer enkele zenuwachtig)

[pietje]

Zou een privé firma zulk gedrag aandurven ??? (even bukken , want nu worden er weer enkele zenuwachtig)

Ik denk dat in een privé firma iemand die zo onkundig de communicatie naar de klanten doet, onmiddellijk zijn C4 mag gaan halen.
Helemaal terecht natuurlijk, want zo'n incidenten kunnen bedrijven zodanig schaden dat ze de boeken kunnen sluiten.

Daar komen we misschien bij de kern: waarom zou desastreuze communicatie met de klanten bij een overheidsbedrijf een probleem zijn?
Ze kunnen toch niet failliet gaan, dus wat is het probleem

[Retard]

Durft zo'n NMBS manager echt de IT directeur niet uitnodigen op zijn bureel en hem diets maken dat er "vandaag nog" een communicatie naar de betroffen klanten moet ?
Zijn die door dezelfde partij benoemd en past dat niet of hoe zit dat. Of lacht de ander hem uit, ge kunt toch niks doen.

Zou een privé firma zulk gedrag aandurven ??? (even bukken , want nu worden er weer enkele zenuwachtig)

Wel, die manager die hem na zo'n fout op de vingers moet tikken, is Marc Descheemaeker. Marc Descheemaeker komt uit de privé. Dus ja, er zijn privébedrijven die dit zouden aandurven, want van zo'n bedrijven was hij ook nog baas.