"NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken | NS Community

"NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken

  • 28 March 2023
  • 23 reacties
  • 674 Bekeken

Deelnemers van klanttevredenheidsonderzoeken van de NS zijn 'mogelijk' slachtoffer van een datalek. Daarbij zijn namen, telefoonnummers en e-mailadressen buitgemaakt. De NS informeert daarom 'uit voorzorg' zo'n 780.000 klanten.

 

https://tweakers.net/nieuws/208132/ns-meldt-datalek-bij-deelnemers-van-klanttevredenheidsonderzoeken.html

 


23 reacties

Reputatie 7
Badge +3

Bericht staat op meerdere nieuwssites.

Gezien NS haar visie op de AVG vond ik het een interessante om hier te delen. Je vindt het inderdaad op veel plekken terug, inclusief NS haar eigen nieuwskanaal en bij de externe verwerker van NS.

Reputatie 7
Badge +3

Gezien NS haar visie op de AVG vond ik het een interessante om hier te delen. Je vindt het inderdaad op veel plekken terug, inclusief NS haar eigen nieuwskanaal en bij de externe verwerker van NS.

Datalek is bij externbureau Blauw waarmee NS samenwerkt.

Nee, het is een lek bij NS. Dat NS dat intern dan weer naar haar onderaannemer doorschuift is detail. En Blauw schuift het weer door naar ‘een softwareleverancier’. Vanuit de AVG blijft NS verantwoordelijk.

Reputatie 7
Badge

Nee, het is een lek bij NS. Dat NS dat intern dan weer naar haar onderaannemer doorschuift is detail.

In het telefoonboek van vroeger stonden die gegevens bijna ook allemaal (inclusief adres) alleen emailadres niet. (want die waren er toen nog bijna niet.)

Reputatie 7
Badge +3

Dat van die telefoonboeken klopt natuurlijk. Ze waren in iedere telefooncel te vinden. Maar een database met allerlei zoekmogelijkheden en daardoor het leggen van verbanden was er niet.

Verder is het fenomeen spam natuurlijk ontzettend irritant. Ook heel slecht voor het klimaat vanwege al het totaal nutteloze serververkeer.

NS heeft overigens via de e-mail de klanten laten weten dat er een datalek is geweest. 

NS laat zijn klanten naar de website van Blauw gaan om mee te doen aan onderzoek, maar heeft verzuimd om Blauw te screenen op veiligheidsaspecten. Blauw heeft kennelijk z'n softwareboer evenmin gescreend, maar noemt nog geen namen. Drie houtje-touwtje-organisaties. De betrokken klant die meedoet aan onderzoek is de dupe. Mijn advies: niet meedoen aan onderzoek zonder veiligheidsgaranties van de opdrachtgever en de uitvoerder.

Vanwege datalek bij Blauw zal ik never nooit meer meewerken aan NS-enquetes !

Reputatie 3

Dat van die telefoonboeken klopt natuurlijk. Ze waren in iedere telefooncel te vinden. Maar een database met allerlei zoekmogelijkheden en daardoor het leggen van verbanden was er niet.
 

Die was er wel, althans zeer simpel te maken. Er was in de jaren 90 een CDfoongids waarbij via een Gui een nummer was op te zoeken.

Dat ding is gehackt, en toen had je het telefoonboek van Nederland als tekst bestand. De stap naar database is dan klein.

Badge +3

Juist, en vervolgens post je dit op Twitter met je naam en e-mailadres in je profiel… de geboortedatum en telefoonnummer ontbreken nog, maar die weten Facebook of LinkedIn misschien wel 😂

Nou ja, het gaat in ieder geval niet om bankgegevens of wachtwoorden.

Goedemiddag.

Ik neem aan dat de NS de volledige verantwoordelijkheid en aansprakelijk zal erkennen bij eventueel misbruik van mijn gegevens indien ten gevolgen van dit datalek schade ontstaat. Daarnaast wordt niet duidelijker gecommuniceerd dat de NS niet zelf het marktonderzoek giet maar dit uitbesteed.

Ik wens geen enkele mail meer te ontvangen van partners van de NS.

 

mvg

RFP van Dijk

Reputatie 3

Leuk, maar kun je concreet maken welke schade je hebt als jouw email adres plus het gegeven over je treinreizen afgelopen maand ergens staan?

Reputatie 7
Badge +3

Daarmee nog niet direct. Maar die data kan wel misbruikt worden. Je zou een e-mail uit naam van NS kunnen krijgen met een tekst in de trant van “Hoi, om je te bedanken dat je in de afgelopen maand x reizen hebt gemaakt, willen we je graag een cadeau aanbieden. Log in op Mijn NS om het cadeau te ontvangen.” Daarbij is Mijn NS een link naar een nagemaakte Mijn NS-omgeving. Daar log je in en voilà, ze hebben je wachtwoord. En datzelfde wachtwoord wordt door 9 van de 10 mensen ook voor andere sites gebruikt. Het gegeven dat de informatie in de mail klopt, wekt vertrouwen en de indruk dat het daadwerkelijk van NS moet zijn.
En als ze geautomatiseerd op die manier 780.000 mails versturen, wat echt geen raketwetenschap is, kun je er op rekenen dat er genoeg mensen intrappen.

Reputatie 7
Badge +1

Niet alleen bij NS, maar ook van klanten van VodafoneZiggo zijn klantgegevens gelekt bij marktonderzoeker Blauw:

https://www.nu.nl/tech/6257296/ook-vodafoneziggo-getroffen-door-datalek-gegevens-700000-klanten-op-straat.html

Badge +3

Goh, deze mail om 22:08 

Tja, hollandsnieuwe (met de kleine letter h) is natuurlijk ook Vodafone reseller.

Maar heb ik daar ooit een klanttevredenheidsonderzoek of iets anders (via Blauw) gedaan? 🤔

Ik weet wel zeker van niet!. Dus hoe zouden mijn gegevens dan (mogellijk) gelekt zijn beste VodafoneZiggo/hollandsnieuwe? 🤣

Maak me geen zorgen verder, want mijn e-mailadressen (en met name wachtwoorden) voor NS, Ziggo/Vodafone en hollandsnieuwe zijn allemaal uniek.

@mrfreeze geeft in zijn reactie het risico al aan.. Hetzelfde wachtwoord (of iets wat er ook maar op lijkt) gebruiken voor meerdere accounts is onverstandig (of erger).

Oh, en leve de mitigatie (is dat een woord?):

Volgens Blauw zijn veertien klanten getroffen door het datalek. Een woordvoerder laat weten dat VodafoneZiggo een van die veertien bedrijven is.

Kreeg via Google ook ooit een alert dat mijn gegevens van AFAS niet veilig zouden zijn, dat zou een veel groter probleem zijn! Maar daar komt echt geen hacker aan (want 2-stap authenticatie, ik krijg een bericht (ouderwetse sms of pushbericht) voor elke inlogpoging en moet die goedkeuren met een vingerafdruk op mijn telefoon, of pincode 12345 die ik alleen weet).

Krijg hem inmiddels ook van de TU over een ander marketingbureau. Toeval?

 

 

Reputatie 7
Badge +3

Nee, geen toeval. Zelfde softwareleverancier.

https://www.ad.nl/tech/mogelijk-miljoenen-nederlanders-slachtoffer-van-datalek-probleem-groter-dan-wij-denken~a095beda/

Persoonsgegevens van klanten van CZ en bezoekers van de Vrienden van Amstel Live en het Internationaal Film Festival Rotterdam (IFFR) liggen op straat, zo maakten de bedrijven donderdag bekend. Dat geldt ook voor klanten van de NS en VodafoneZiggo. Zij werken allen samen met de bekende marktonderzoeker Blauw. Ook via marktonderzoeksbureau USP zijn de gegevens van nog eens 100.000 tot 150.000 mensen in Nederland gelekt, zegt directeur Jan-Paul Strop. Volgens hem zijn vijf tot tien andere grote Nederlandse marktbureaus getroffen door hetzelfde lek. Volgens beide bureaus is de bron van het lek hun softwareleverancier Nebu uit Wormerveer, dat valt onder moederbedrijf Enghouse Systems in Canada.

Ah oke, thanks voor de link. Had daarstraks ff niet de mogelijkheden om het uitgebreid op te zoeken.

Reputatie 7
Badge +3

Ik zag hem begin van de middag bovenaan de AD website staan. Ik denk dat de sfeer bij die sof(t)wareleverancier nu niet zo best is. 😁 

Reputatie 7
Badge +1

NOS heeft er ook een bericht over:

https://nos.nl/artikel/2469510-datalek-nederlandse-bedrijven-steeds-groter-zeker-2-miljoen-klanten-getroffen

Vooral interessant dat dat de softwareleverancier in kwestie (Nebu) in beginsel nauwelijks tot geen informatie wilde geven.

Reputatie 7
Badge +3

Vooral interessant dat dat de softwareleverancier in kwestie (Nebu) in beginsel nauwelijks tot geen informatie wilde geven, en dat ook andere marktonderzoekbureaus zijn getroffen.

Bedrijf hult zich dus in nevelen (nebulae). 🤣

Badge +3

Bedrijf hult zich dus in nevelen (nebulae). 🤣

En wij maar bang zijn voor de Russen of Chinezen! De Canadezen zijn de vijand!

Reputatie 7
Badge +3

https://www.ad.nl/tech/datalek-gevolg-van-cyberaanval-belaagde-leverancier-haalt-stiekem-telefoonnummer-van-website~aeb9ccf7/

Reageer