Het Groot Belgisch Treinen Forum

Datalek NMBS treft mogelijk 1,5 miljoen reizigers

Het datalek bij de NMBS, dat eerst relatief onbeduidend leek, blijkt groter dan gedacht. Volgens de kranten De Tijd en Le Soir stonden de persoonsgegevens van mogelijk 1,5 miljoen klanten wekenlang onbeschermd op het internet.

Het lek werd vorige week zaterdag publiek gemaakt. Een internetgebruiker postte toen op een internetforum een link naar een pagina met persoonsgegevens van klanten van NMBS Europe, onder wie toppolitici als Paul Magnette, voogdijminister van de NMBS. Toen de NMBS dat in de gaten kreeg, schermde ze klantendata meteen af.

'Van beperkte omvang'
Het lek werd voorgesteld als zeer tijdelijk en van beperkte omvang. Maar volgens De Tijd bevatte het bewuste bestand ruim 1,46 miljoen 'entries'. Mogelijk zitten daar wel dubbele gegevens tussen. Toch bevestigt Bart Crols, woordvoerder van de NMBS, aan de krant dat het om de gegevens van "enkele honderdduizenden" klanten gaat.

De krant schrijft dat er ongetwijfeld al meerdere kopieën van het bestand circuleren. Opmerkelijk is ook dat Google en andere zoekmachines de pagina enkele weken geleden indexeerden. De informatie was dus al die tijd vindbaar op het internet zonder bescherming door een wachtwoord.

Excuses
De Tijd stelt vast dat de NMBS zijn pijlen lijkt te richten op de persoon die de link publiceerde. Maar volgens de krant treft vooral de NMBS schuld omdat het de gegevens niet heeft afgeschermd. "We verontschuldigen ons nadrukkelijk voor dit incident bij onze klanten", reageerde Crols op de kritiek dat de NMBS geen publieke excuses heeft aangeboden. "De privacy van onze klanten is voor ons een prioriteit."

En wij stellen vast dat NMBS en Belgische media het nog steeds helemaal niet snappen. De impact van zoiets. Hier een korte analyse van de gegevens: http://storify.com/xdamman/sncbgate-nmbsgate

kika schreef:Hier een korte analyse van de gegevens: http://storify.com/xdamman/sncbgate-nmbsgate

Ik krijg een lege pagina. Is dat normaal of is de info weggelekt?

Dat is niet normaal. De auteur heeft de gegevens even kort mooi gepresenteerd: zie je dat er bijvoorbeeld heel veel meer mensen de Engelse i.p.v. als Duitstalige geregistreerd staan, geografische verdeling, waarom het lekken van gegevens zo dramatisch is...

@ Kika, het is weer in orde. Ik zie weer alles

File a claim
If you are Belgian and if you take the train, you are very likely impacted by this leak. I highly recommend you to file a claim at the Commission for Protection of Privacy. The more people, the more likely they will take this seriously and take the necessary measures so that it won't happen again. You could also technically ask for reparation (free rides?).

Ik heb dit ook al gedacht, maar zou het nut hebben? Ik zou natuurlijk wel een paar gratis tickets willen...

Ik heb meer dan een week geleden aan NMBS gevraagd welke gegevens juist publiek geweest zijn, zodat ik eventueel maatregelen kan nemen.
Ik wacht op een antwoord.... en hou jullie op de hoogte over hun houding.

dentheo schreef:Ik heb meer dan een week geleden aan NMBS gevraagd welke gegevens juist publiek geweest zijn, zodat ik eventueel maatregelen kan nemen.
Ik wacht op een antwoord.... en hou jullie op de hoogte over hun houding.

Ok, hoe heb je btw net contact opgenomen?

The Terminator schreef:

File a claim
If you are Belgian and if you take the train, you are very likely impacted by this leak. I highly recommend you to file a claim at the Commission for Protection of Privacy. The more people, the more likely they will take this seriously and take the necessary measures so that it won't happen again. You could also technically ask for reparation (free rides?).

Ik heb dit ook al gedacht, maar zou het nut hebben? Ik zou natuurlijk wel een paar gratis tickets willen...

Als je een klacht wil indienen en een schadevergoeding vragen, zal je moeten kunnen aantonen dat je schade hebt geleden en dat lijkt mij - zeker als onbekende Vlaming - moeilijk. De Privacycommission mag dan al een ronkende naam hebben, het blijft een leeuw zonder klauwen die in het beste geval eens een braaf briefje zal schrijven naar de NMBS met het advies volgende maal beter op te letten.

Het weze misschien beter een louter commerciële geste op vrijwillige basis te vragen, rechtstreeks aan de NMBS gericht en met de ombudsman in tweede lijn indien nodig.

Jeroen schreef:Als je een klacht wil indienen en een schadevergoeding vragen, zal je moeten kunnen aantonen dat je schade hebt geleden en dat lijkt mij - zeker als onbekende Vlaming - moeilijk.

Je kan eventueel beargumenteren dat de geleden schade lager ligt, maar de schade is nog steeds daar en potentieel nog groter. NMBS begaat simpelweg een grove nalatigheid. Als ik een bank was en een klant van me slachtoffer van identiteitsdiefstal, zou ik de claims gewoon bij de NMBS neerleggen

Privacycommissie is helaas meer een slapende tijgerkat die niet gestoord wilt worden.

Het kan nog een eeuwigheid duren voor de schade naar boven komt, maar ik kan wel een paar scenario's bedenken waarmee ik mensen uit de lijst hun gegevens heel goed zou kunnen gebruiken voor persoonlijke verrijking [zeker als naam, adres en geboortedatum in die lijst staan].

Ik wil nu geen advocaat van de duivel spelen, maar is het zo erg dat je bekent bent als klant bij de NMBS? Dat is toch niet De Pussycat?

Niet het klant zijn van de NMBS is een probleem, het gaat om de persoonlijke gegevens. Naam, adres, geboortedatum. Ga eens voor de grap bloemen bestellen op internet, rekeningadres is van die treinreizigers en de bloemen zijn voor het lokale ziekenhuis, om een heel onschuldig voorbeeld te geven.

Retard schreef:Ik wil nu geen advocaat van de duivel spelen, maar is het zo erg dat je bekent bent als klant bij de NMBS? Dat is toch niet De Pussycat?

Ik begrijp ook niet dat er zo een spel van gemaakt wordt dat uw naam en email adres zou bekend zijn als klant van de NMBS.
Zullen we dan ook maar alle telefoonboeken afschaffen ? Daar staan ook namen en adressen in en zelfs telefoonnummers ! En zelfs meer dan 1,5 miljoen.
En als iemand die emailadressen wil gebruiken voor spam dan hebben ze daar echt de NMBS niet voor nodig om daar aan te geraken.
En de geboortedatum, emailadres en telefoonnummer van Magnette staan ook op portaal belgium.be.

Adler schreef:

Retard schreef:Ik wil nu geen advocaat van de duivel spelen, maar is het zo erg dat je bekent bent als klant bij de NMBS? Dat is toch niet De Pussycat?

Ik begrijp ook niet dat er zo een spel van gemaakt wordt dat uw naam en email adres zou bekend zijn als klant van de NMBS.
Zullen we dan ook maar alle telefoonboeken afschaffen ? Daar staan ook namen en adressen in en zelfs telefoonnummers ! En zelfs meer dan 1,5 miljoen.
En als iemand die emailadressen wil gebruiken voor spam dan hebben ze daar echt de NMBS niet voor nodig om daar aan te geraken.
En de geboortedatum, emailadres en telefoonnummer van Magnette staan ook op portaal belgium.be.

Tja, we leven nu eenmaal (nog even) in 2012. Privacy is zogenaamd heilig, maar als ze op tv of in de krant kunnen komen, doen ze desnoods hun broek uit. Kijk maar eens naar wat men tegenwoordig tv-nieuws noemt: de experten van de straat staan gewoon te dringen om ook hun gedacht te kunnen zeggen, mijn gedacht...