Datalek NMBS treft mogelijk 1,5 miljoen reizigers

[Kristofke]

Ik ben met alles geexposed, naam telefoon adres en geboortedatum

[Adler]

Als uw telefoonnummer dan toch zo top secret geheim is, hoe is de NMBS er dan aan geraakt ?

Omdat hij het wel aan de NMBS toevertrouwd heeft?! En de NMBS heeft de wettelijke verplichting deze info te beschermen.

U gaat wel serieus kort door de bocht over privacy. Als morgen uw bestelling van de Pabo online staat met al uw persoonsgegevens gaat u er even licht over?

Er is anders geen enkel verschil.

En u scheert iedereen over dezelfde kam, lang niet iedereen publiceren zo maar alles openbaar op Facebook.

Nogmaals, als iemand uw of mijn naam en adres wil misbruiken heeft hij daar zeer veel bronnen voor die volkomen legaal zijn zoals telefoongidsen en tal van andere bronnen.
En waarschijnlijk staat ook uw naam op uw deurbel. Dus iedereen die op straat rondloopt (hetgeen nog altijd niet verboden is tot nader order) kan uw naam en adres te weten komen.

[Asterix]

Nogmaals, als iemand uw of mijn naam en adres wil misbruiken heeft hij daar zeer veel bronnen voor die volkomen legaal zijn zoals telefoongidsen en tal van andere bronnen.
En waarschijnlijk staat ook uw naam op uw deurbel. Dus iedereen die op straat rondloopt (hetgeen nog altijd niet verboden is tot nader order) kan uw naam en adres te weten komen.

Dat klopt allemaal wel maar het is tot nader order wél verboden lichtzinnig met die gegevens om te gaan. Daar kan er dus wél een wettelijk probleem zijn.

Art. 16

(§ 4.) Om de veiligheid van de persoonsgegevens te waarborgen, (moeten de verantwoordelijke van de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de pesoonsgegevens) tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. <W 1998-12-11/54, art. 23, 004; Inwerkingtreding : 01-09-2001>
Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.

[The Terminator]

Ik ben ook volledig exposed....

[dentheo]

Ik ook , maar niet volledig...
Toch had ik die info graag van de NMBS zelf gekregen maar zo beleefd zijn ze blijkbaar niet, of zouden ze verlegen zijn ?

[jotie]

La Libre taxeert de handelswaarde van het bestand op 4 miljoen. Lijkt me wat overdreven vermits het niet gaat om 1,4 mio unieke gebruikers, maar men kan niet ontkennen dat die lijst behoorlijk kwalitatief is en dus wel degelijk een forse handelswaarde representeert.

Zelf til ik toch wel zwaar aan dit incident. Een aantal jaar gelden is mijn e-mailadres ook al eens gelekt uit een database van een grote Duitse krant, en de gevolgen ervan merk ik bijna dagelijks nog: typische SPAM-berichten, die mijn SPAM-filter nog altijd niet correct weet te klasseren. Ik verwacht me dus alweer aan een nieuwe golf van ongewenste e-mails.

Dat de NMBS zo ongelooflijk lichtzinnig over deze kwestie heen gaat, vind ik beneden alle peil. Goed, het kwaad is geschied en het terugdraaien van de fout is quasi onmogelijk, maar dan verwacht ik tenminste een gepersonaliseerd schrijven met een volledige verklaring over hoe dit mogelijk is geweest, en hoe men hieruit denkt lessen te kunnen trekken. En te leren valt er sowieso, want vergeet niet dat dit 'lek' helemaal niet het resultaat is van een gerichte aanval op de website, maar geheel toevallig werd ontdekt doordat iemand het e-mailadres van een kennis intikte op Google en zo op die onversleutelde TXT uitkwam. Ik houd mijn hart vast wat er gebeurt wanneer iemand zich doelgericht toegang probeert te verschaffen tot het websitekluwen van ons aller NMBS. Eigenlijk zou de NMBS heel expliciete informatie moeten verstrekken over hoe de beveiliging is geconcipieerd om hackers in staat te stellen om heel gericht de zwakke schakels te kunnen beproeven, en zo bij te dragen aan een steeds sterker wordende beveiliging. Maar ik vrees dat men wat dat betreft bij de NMBS nog in het papieren tijdperk leeft.

Dat illustreert ook hun houding nu: met het vingertje zwaaien naar al wie in contact is gekomen met die database, terwijl het vooreerst de NMBS zelf is die ernstige fouten heeft gemaakt. Met het vingertje zwaaien houdt men echte criminelen niet tegen. De lijst mag inmiddels wel onvindbaar zijn op het 'publieke' internet, maar het is nogal naïef wanneer men denkt dat die daarom niet circuleert op het 'darknet'.

[Frank]

Dat de NMBS zo ongelooflijk lichtzinnig over deze kwestie heen gaat, vind ik beneden alle peil.

Dat is wat mij ook enorm stoort. Goed, ze lekken mijn gegevens: dat is slordig. Buiten wat extra spam, verwacht ik er geen schade door, maar het was wel heel netjes geweest als de NMBS mij hierover gecontacteerd had. De schoorvoetende excuses van Bart Crols doen het hem niet bij mij.

[Kristofke]

Nogmaals, als iemand uw of mijn naam en adres wil misbruiken heeft hij daar zeer veel bronnen voor die volkomen legaal zijn zoals telefoongidsen en tal van andere bronnen.
En waarschijnlijk staat ook uw naam op uw deurbel. Dus iedereen die op straat rondloopt (hetgeen nog altijd niet verboden is tot nader order) kan uw naam en adres te weten komen.

Het is niet omdat u uw gegevens niet laat wissen uit de telefoonboek dat een ander dat niet doet hé?!

Er zijn genoeg mensen die hun persoonsgegevens niet rondstrooien.

Uw opmerking over de deurbel is compleet belachelijk. Dus ik moet niet klagen dat mijn adres en geboortedatum online gestaan hebben, want als iemand mijn adres wil weten zal hij wel alle 10 miljoen adressen in België een keer afgaan om het toch te weten te komen? Is dat uw argumentatie?

[Adler]

Nogmaals, als iemand uw of mijn naam en adres wil misbruiken heeft hij daar zeer veel bronnen voor die volkomen legaal zijn zoals telefoongidsen en tal van andere bronnen.
En waarschijnlijk staat ook uw naam op uw deurbel. Dus iedereen die op straat rondloopt (hetgeen nog altijd niet verboden is tot nader order) kan uw naam en adres te weten komen.

Het is niet omdat u uw gegevens niet laat wissen uit de telefoonboek dat een ander dat niet doet hé?!

Er zijn genoeg mensen die hun persoonsgegevens niet rondstrooien.

Uw opmerking over de deurbel is compleet belachelijk. Dus ik moet niet klagen dat mijn adres en geboortedatum online gestaan hebben, want als iemand mijn adres wil weten zal hij wel alle 10 miljoen adressen in België een keer afgaan om het toch te weten te komen? Is dat uw argumentatie?

Dus u beweert nu dat iemand die specifiek uw naam wil misbruiken nooit aan uw gegevens had kunnen komen als ze niet door de NMBS waren bekend gemaakt ?

[Retard]

Privacycommissie onderzoekt datalek NMBS

De Commissie voor de bescherming van de persoonlijke levenssfeer heeft contact opgenomen met vervoersmaatschappij NMBS in verband met het datalek dat de gegevens van 1,4 miljoen gebruikers openbaar maakte. De krant Le Soir meldt op haar website dat er vrijdag een vergadering is gepland.

De Commissie wil graag te weten komen hoe het lek is kunnen ontstaan en hoe de NMBS omgaat met de privégegevens van haar klanten. "We willen weten wat er gebeurd is", aldus Eva Wiertz, de woordvoerster van de Privacycommissie. "Er mag niet nog eens zo'n lek ontstaan." De Commissie vreest dat de gelekte gegevens door privébedrijven gebruikt zouden kunnen zijn voor directe marketing zonder dat de personen hun toestemming hebben gegevens.

Bezorgde NMBS-klanten kunnen de Privacycommissie contacteren om te weten of hun gegevens openbaar werden gemaakt. De Commissie zal echter niet voor een financiële vergoeding kunnen zorgen. "We leggen geen sancties op", legt Wiertz uit. "We onderzoeken enkel of er sprake is van schending van de privacy."

Maandag werd een website gecreëerd waarop klanten kunnen controleren of hun gegevens openbaar werden gemaakt. "Hoewel de intenties van de internetgebruiker goed waren, is ook deze website een inbreuk op de privacy", zegt Wiertz nog. "Het gaat ook in dit geval over de verspreiding van persoonlijke gegevens zonder dat de bewuste personen daarvoor hun toestemming gaven.


NMBS weet nog altijd niet hoe datalek kon ontstaan

Vervoersmaatschappij NMBS weet nog niet hoe het datalek is kunnen ontstaan waarbij de gegevens van 1,4 miljoen klanten even openbaar werden gemaakt. Woordvoerster Nathalie Pierard meldt dat een externe firma momenteel een technisch onderzoek voert.

Twee weken na het lek heeft het onderzoek van de NMBS nog geen resultaten opgeleverd. "We hebben morgen een vergadering gepland met de firma die het onderzoek voert. Het onderzoek neemt veel tijd in beslag, voornamelijk wegens de kerstvakantie."

Klanten
Door het datalek zijn gegevens van Belgische en internationale klanten van NMBS Europe openbaar gemaakt. "Alle betrokken klanten hebben hun gegevens ingevoerd op de website om een reservatie te doen of om informatie op te vragen", aldus Pierard. De gelekte gegevens werden in een bestand geplakt en op het internet gezet.

De NMBS wijst erop dat ze er eerst en vooral voor wilde zorgen dat het document met de gegevens niet meer online beschikbaar was. "Daarna hebben we onze klanten ingelicht over het probleem via de website", zegt de woordvoerster.

Privacycommissie
Overmorgen vindt een onderhoud plaats tussen de Privacycommissie en de NMBS. "We gaan samen met de Commissie de verschillende juridische opties overlopen", aldus Pierard. De woordvoerster benadrukt nog dat ze hoopt dat de NMBS het eerste aanspreekpunt blijft voor de klanten in verband met het lek.

[jotie]

Dus u beweert nu dat iemand die specifiek uw naam wil misbruiken nooit aan uw gegevens had kunnen komen als ze niet door de NMBS waren bekend gemaakt ?

Neen, maar je kan je blootstelling aan al dan niet bonafide dataverwerkingspraktijken drastisch proberen te beperken. Geen persoongegevens vrij op internet plaatsen, geen facebook en dergelijke gebruiken, bij iedere plaats (on- en offline) waar je persoonlijke gegevens achterlaat duidelijk aanstippen dat bezwaar wordt aangetekend tegen iedere niet-noodzakelijke aanwending, het niet laten opnemen in een telefoonboek en het inschrijven op de Robinsonlijsten kan al veel verhelpen. En daarnaast: elfendertig verschillende e-mailadressen gebruiken. En dan nog zal je elektronische en papieren SPAM ontvangen, maar toch al véél minder.

Het gevaar bij het soort datalekken zoals dit bij de NMBS schuilt ergens anders. Stel dat ik minder goede bedoelingen heb en over die lijst kan beschikken. (Voor alle duidelijkheid: qoud non.) Wat zou ik dan kunnen doen? Wel, dan stuur ik eerstdaags een personaliseerde e-mail naar iedereen uit het bestand vanaf een legitiem e-mailadres van de NMBS, bijvoorbeeld zo'n no reply ding. Als motief voor die e-mail grijp ik het datalek aan, en formuleer ik oprechte excuses namens de NMBS. Hoewel het kwaad natuurlijk is geschied, en de schade eigenlijk niet echt te becijferen valt, meldt ik dat de NMBS het genoegen heeft iedereen 10 euro korting te bieden op de eerstvolgende treinreis die via de website wordt geboekt. Merk op dat ik die e-mail kan versturen gericht aan "de heer Jan Janssen", en gesteld in zijn taal.

Om die 10 euro te verzilveren moet de klant natuurlijk op een linkje klikken dat zeer sterk gelijkt op een van dat dozijn URL's die door de NMBS wordt gebruikt, maar natuurlijk via een weg verloopt waar ik controle over heb. De Windowsgebruikers heb ik op die manier alweer liggen, want natuurlijk activeer ik via die weg een keylogger en andere leuke scriptjes. Ik laat het vervolg aan je verbeeldingskracht over, maar om uit een bestand van 1,5 miljoen minstens 100 mensen effectief in de val te laten lopen en hun creditcardgegevens te ontfutselen, moet een haalbare kaart (no pun intended) zijn. Ik geef toe, je moet vrij goede IT skills hebben, maar er lopen mensen genoeg rond die dat kunnen. Dààrom is dit lek zo gevaarlijk.

Overigens, zelfs een groot reisagentschap zoals Connections kan commercieel voordeel halen uit zo'n lijst. Neen, niet door die blind te gebruiken, want dan krijgen ze de economische inspectie op hun dak (alweer, want ik heb ze al eens met succes 'aangeklaagd'). Maar wel door dat bestand te vergelijken met het bestand wat zij hebben en bij overeenkomende velden informatie bij te schrijven. Want als dat agentschap weet dat alle Jan Janssens die bij hen klant zijn al eens de trein gebruiken, kunnen ze wel eens een direct marketing mailing uitsturen met hun 'aantrekkelijke aanbod' treinreizen. Tamelijk onschuldig, maar als je dat met meerdere van dat soort lekken kan doen, heb je na verloop van tijd wel een héél kwaliteitsvol mailingbestand dat bij doorverkoop ook nog flink wat cash oplevert. Ik vind het prima dat jij daar geen graten in ziet, maar met mijn gegevens moeten ze iets fatsoenlijker omgaan.

[Asterix]

De gelekte gegevens werden in een bestand geplakt en op het internet gezet.

Waarom op internet zetten?

[vlaming78]

Wat ik me in deze ganse heisa afvraag: wie is er verantwoordelijk voor het beheer van de website? Is dit de NMBS of de NMBS Holding? Voor zover ik het begrijp wordt in de pers steeds met de vinger gewezen naar de NMBS, maar het grootste gedeelte van de IT-activiteiten wordt toch door de NMBS-Holding en Syntigo geleverd? Ik vermoed dan ook wel dat er binnenskamers de verantwoordelijkheid door de één naar de ander wordt toegeschoven, en dit mee de trage reactie heeft veroorzaakt. Toch weer een mooi voorbeeld hoe de huidige structuur niet werkt lijkt me.

[kika]

Zonder te weten wie er precies verantwoordelijk is, kan ik je in ieder geval gelijk geven dat het een soepje is qua verantwoordelijkheid en communicatie. De gewraakte info was immers beschikbaar op b-europe.com (zie bvb. http://www.b-europe.com/Reizen/Praktisc ... endatabase ), voor wie NMBS-Holding H-ICT (wat dat ook mag betekenen) verantwoordelijk zou moeten zijn. Maar voor welk aspect zijn ze verantwoordelijk? De infrastructuur regelen en zijn het dan mensen van b-europe (NMBS) die bijvoorbeeld informatie er op zetten en deze al dan niet correct gebruiken en afschermen? In theorie zal het me een worst wezen, in de praktijk is er toch vaak overlap tussen wat geleverd wordt door de ene en gepresteerd door de andere. Naast de schuldvraag vind ik het nog steeds belangrijker hoe er met het eigen falen wordt omgesprongen.

[Steven]

H = Holding. ICT legt zichzelf wel als veel voorkomende afkorting voor de informaticadiensten in het bedrijf.