Saldo inzien zonder authenticatie?

  • 19 december 2017
  • 21 reacties
  • 411 Bekeken

En zo denken ze daar aan het Stationsplein 151-157 over :$

https://tweakers.net/nieuws/133081/translink-ziet-inzien-saldo-met-willekeurig-ov-chipkaartnummer-niet-als-probleem.html

"Kloeze schrijft bovendien dat het via de NS-site mogelijk is om via een ov-chipkaartnummer de bijbehorende geboortedatum te achterhalen. Translink zegt dat dit bij de NS ligt. Tweakers heeft vragen aan het bedrijf gesteld."

21 reacties

Reputatie 6
Badge +2
"Kloeze schrijft bovendien dat het via de NS-site mogelijk is om via een ov-chipkaartnummer de bijbehorende geboortedatum te achterhalen. Translink zegt dat dit bij de NS ligt. Tweakers heeft vragen aan het bedrijf gesteld."
Ns heeft gezegd dit vandaag nog te veranderen (https://www.lorankloeze.nl/2017/12/15/saldo-van-elke-ov-chipkaart-is-te-eenvoudig-in-te-zien), en zo te zien is dat ook gebeurd. bijdragevandennis
Mooi, da's één. Nu TransLink nog wakker krijgen 😃
Badge +3
Tja, een kaartnummer zou volgens TLS niet te herleiden zijn naar een persoon, maar dat is dus maar gedeeltelijk waar.

Als ik bij mijn baas declareer weet hij ook mijn kaartnummer, en hij kan dan (hypothetisch) eenvoudig controleren of ik op een dag dat ik me ziek gemeld heb (en thuis dien te blijven) toch met mijn kaart gereisd heb, want de datum en tijd laatste van de laatste transactie staan er gewoon bij.

Overigens zie ik hier dat het 'lek' ernstiger is, want iemand beweert ".. ik kan zonder in te loggen ook de verloopdatum, geboortedatum, saldo, status automatisch opladen en type kaart opvragen".

Maar goed, zie eerst maar mijn kaartnummer te weten te komen en dat het om de mijne gaat (hij zit in een ondoorzichtig hoesje). Als je mijn portemonnee in handen hebt kan je ook tellen hoe veel er in zit (en ergere dingen doen natuurlijk). Het saldo op je chipkaart is eigenlijk hetzelfde, al is het op afstand te controleren zodra je het nummer weet.

De vergelijking met "ik weet je IBAN dus kan ik je saldo checken" gaat natuurlijk mank, maar voelt op zich wel zo.
Je loopt na een x aantal keer wel tegen een captcha aan, maar dat hoeft ook geen uitdaging te zijn. Je kunt vrij actief pollen en bijhouden wanneer iemand reizen maakt. Het is serieuzer dan het lijkt.
Reputatie 6
Tja... als ik op het vertrekstation bij de poortjes incheck, dan zie ik op het displaytje het abonnement en het saldo dat op de kaart staat. En wanneer ik uitcheck, de prijs van de reis die gemaakt is.

Bij grote drukte, zie ik dat ook van degene die voor mij in- en uitcheckt: degene die nà mij in- of uitcheckt ziet die ook van mij....
Badge +3
Ja, want als je (brute force) mijn kaartnummer kan vinden en dan filteren op geboortedatum (als je die weet, en die is schijnbaar eenvoudig op te vragen dus) en bijvoorbeeld ook nog weet wanneer ik toevallig voor het laatst met de kaart gereisd heb...

Dan weet je dat ik het waarschijnlijk ben en het saldo op mijn kaart (nooit meer dan ca. 15 euro, want heb automatisch opladen).

Het valt dus met wat moeite wel te herleiden naar een persoon maar je kunt er verder weinig mee vermoed ik.

Goed dat het 'probleem' aangekaart wordt, dat dan weer wel.
Nouja, als je een kaartnummer hebt zou je op basis daarvan reistijden kunnen loggen door dus telkens deze service te bevragen. Hoort niet openbaar op deze manier iig.
Moet je voorstellen dat je op een site een bankrekeningnummer kan invoeren en dan meteen het saldo ziet. Zou je ook niet willen.

(Oooh das waar ook... Net ff anders maar psd2 komt eraan. ?)
Reputatie 4
Klanten hebben 'geen nadelige gevolgen ondervonden', aldus de NS.


Kan een NS-medewerker deze nogal stellige uitspraak wellicht onderbouwen?
We hebben privacydeskundigen geraadpleegd en die hebben aangegeven dat het onwaarschijnlijk is dat klanten nadelige effecten hebben ondervonden. Maar we hebben het zekere voor het onzekere genomen en ook een melding gedaan bij de Autoriteit Persoonsgegevens.
Achja, zoals altijd denkt de een daar anders over dan de ander...

https://blog.iusmentis.com/2017/12/19/duh-natuurlijk-is-iemands-ov-saldo-kunnen-zien-datalek/

Al ging dit topic mij voornamelijk om TLS en de houding van dat bedrijf. Waar NS natuurlijk ook vuistdiep in zit 😉
Reputatie 4
We hebben privacydeskundigen geraadpleegd en die hebben aangegeven dat het onwaarschijnlijk is dat klanten nadelige effecten hebben ondervonden. Maar we hebben het zekere voor het onzekere genomen en ook een melding gedaan bij de Autoriteit Persoonsgegevens.

Fijn dat jullie contact hebben opgenomen met privacydeskundigen en de Autoriteit Persoonsgegevens, maar erg jammer dat jullie geen contact hebben opgenomen met jullie klanten terwijl het nou juist om hun gegevens gaat...
En wie zijn die privacydeskundigen Erryt :?🆒
Het lijkt mij onmogelijk om contact op te nemen met al onze abonnementhouders, achja. En je mag ervan uitgaan dat deze deskundigen hun werk goed hebben gedaan, Nooduitgang. Een introductie van deze mensen lijkt mij overbodig.
Nou Erryt, waarom niet:?

Over privacy gesproken, ken je dat verhaal nog van die onderzoeksjournalist en die ov chipkaart?
Reputatie 4
Het lijkt mij onmogelijk om contact op te nemen met al onze abonnementhouders, achja. En je mag ervan uitgaan dat deze deskundigen hun werk goed hebben gedaan, Nooduitgang. Een introductie van deze mensen lijkt mij overbodig.

Als ik zie hoeveel reclamemails ik van NS ontvang dan lijkt het me tamelijk eenvoudig voor jullie om contact te zoeken.
Aangezien NS het nodig vond om per direct in te grijpen, neem ik aan dat jullie erkennen dat hier sprake was van een lek en dus een fout van jullie kant. Dan vind ik het niet meer dan logisch dat je alle klanten een e-mail stuurt waarin je ze uitlegt wat er aan de hand is, hoe dit heeft kunnen ontstaan, wat jullie hebben gedaan om dit op te lossen, waarom de klanten er volgens jullie geen hinder van hebben ondervonden en hoe jullie gaan voorkomen dat dit soort situaties zich in de toekomst voordoen.
Deze hele reactie geeft wel weer aan dat bij bedrijven de awareness voor privacy echt ontbreekt.

Juist door open te communiceren aan alle klanten geef je aan het serieus te nemen. Het excuus dat het niet mogelijk is om contact op te nemen is natuurlijk onzin, maar ik ga er vanuit dat de NS dit zelf ook weet.

Maar gelukkig is er wel melding bij de AP gemaakt, zij oordelen namelijk meestal dat er geen boete nodig is, maar het bedrijf wel verplicht wordt de klanten te informeren.
Een mail hierover sturen naar al onze klanten is inderdaad mogelijk, maar zoals Erryt al zei is het onwaarschijnlijk dat klanten nadelige gevolgen hebben ondervonden. Wij als moderators proberen jullie in ieder geval zo transparant mogelijk te informeren 🙂 Het bestelformulier is dinsdag aangepast. De geboortedatum moet nu door de klant zelf worden ingevoerd.
Reputatie 4
Als NS van mij als klant verwacht dat ik allerlei persoonsgegevens aan ze overhandig, dan verwacht ik dat NS daar zorgvuldig mee omgaat. Als dat nu niet is gebeurd (wat NS impliciet heeft erkend door stante pede de procedure te wijzigen, terwijl wijzigingen aan de website normaliter ellenlang op zich laten wachten) dan verwacht ik dat NS mij daar zo volledig als mogelijk is van op de hoogte brengt. Erryt en Iris zullen het vast goed bedoelen, maar de wijze waarop zij (net als hun collega's eerder gedaan hebben) dit onder het tapijt proberen te vegen is mijns inziens beneden alle peil.
Als ik en anderen zwart reizen gedurende een overvolle spits is het ook onwaarschijnlijk dat ik en de anderen nadelige gevolgen zullen ondervinden. 😠
"Vertrouw ons maar"...

https://tweakers.net/nieuws/133183/translink-wijzigt-reishistorietool-nadat-geboortedatum-opvraagbaar-bleek-te-zijn.html

"Wind ontdekte dat er met een cURL-verzoek meer gegevens dan alleen de reishistorie op te vragen waren, nadat hij internetverkeer zag langskomen dat hij kon aanpassen. Volgens Translink houdt dit verband met een andere onlinetool, die op het moment van schrijven offline is. Daaronder waren de geboortedatum van de eigenaar, het saldo, het type kaart en de geldigheidsdatum."

Reageer