D9D1E2

Datalekken in Nederland

2014

Gebruiker website krijgt bij aanmaken account gegevens van andere gebruikers te zien (2014-08-09)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Trans Link Systems.

Verwerking

www.ov-chipkaart.nl.

Betrokkenen

"[...] reizigers [...] Ov-chipkaart.nl heeft zo'n twee miljoen gebruikers." [Nu.nl, 2014-08-09]

Soort (persoons)gegevens

"Onder meer de naam, adres, woonplaats en rekeningnummer zijn zichtbaar wanneer de fout zich voordoet." [Nu.nl, 2014-08-09]

Type incident

Inbreuk op de vertrouwelijkheid en in potentie op de integriteit van de verwerkte gegevens.

Beschrijving van het incident

"De website ov-chipkaart.nl, waarop reizigers hun reis- en saldogegevens kunnen beheren bevat een lek. Daardoor krijgen mensen soms informatie van andere gebruikers te zien, die ook deels aanpasbaar zijn. [...] " [Nu.nl, 2014-08-09]

"Het lek openbaarde zich onlangs toen een kaarthouder een nieuw account aanmaakte. Tot zijn verbazing kreeg deze persoon daarbij zicht op de reisgegevens van twee andere kaarthouders. Het ging om een anonieme kaartgebruiker en een man uit Arnhem. Van deze Arnhemmer waren ook zijn adresgegevens zichtbaar, plus e-mailadres en rekeningnummer. Bovendien konden deze gegevens nu worden gewijzigd." [NRC, 2014-08-09]

Respons van de organisatie

"TLS kwam het lek op het spoor via een reiziger die plotseling allerlei gegevens van iemand anders te zien kreeg, en daarop direct het bedrijf informeerde. Het bedrijf erkent het probleem en zegt bezig te zijn met het verhelpen van het fout. Er worden momenteel nog tests uitgevoerd. Het lek is naar verwachting aanstaande dinsdag verholpen. Of de fout zich vaker heeft voorgedaan is niet bekend, maar er zijn niet eerder klachten binnengekomen. In de tussentijd is er volgens TLS geen reden tot paniek omdat het lek niet reproduceerbaar blijkt. Het bedrijf heeft een 'ethische hacker' in dienst die het lek heeft proberen te misbruiken, maar die kreeg het niet voor elkaar. De website is dan ook nog steeds in de lucht. Gebruikers kunnen geen financiële schade ondervinden door het lek, omdat het niet mogelijk is om via de site direct geld af te schrijven van iemands rekening." [Nu.nl, 2014-08-09]

"Het bedrijf is de afgelopen dagen druk bezig geweest om het probleem op te lossen. Naar verwachting wordt het lek dinsdag gedicht. Het probleem kwam vorige week naar boven toen een gebruiker onbedoeld de gegevens van iemand anders op zijn scherm kreeg. 'Hij maakte een print waardoor we relatief snel de oorzaak konden achterhalen. De afgelopen dagen hebben we de aanpassing al succesvol getest. Maandag is de laatste', zegt de woordvoerster. Volgens haar zijn er geen signalen dat andere gebruikers last van het lek hebben ondervonden of dat ze financieel zijn gedupeerd. Door het euvel was het mogelijk om zowel namen, rekeningnummers als adressen van anderen te zien en deels te wijzigen, maar dat kon volgens de woordvoerster niet met wachtwoorden of gebruikersnamen." [AG, 2014-08-11]

"Zaterdag 9 augustus hebben diverse media aandacht besteed aan de bug in onze webserver software. Hierdoor kon een gebruiker van het online transactieoverzicht ongewenst de gegevens van een andere kaarthouder inzien. Omdat deze gebruiker printscreens had gemaakt en deze met ons wilde delen, kregen wij beter inzicht in het probleem en konden wij snel werken aan de oplossing. Deze oplossing is in de nacht van maandag 11 op dinsdag 12 augustus succesvol in productie genomen. Hierbij gaan we ervan uit dat het probleem verholpen moet zijn. De komende tijd gaan we dit zeer nauw monitoren om uit te sluiten dat het zich weer voordoet. Uit nadere analyse in de afgelopen dagen blijkt dat er eerder dit jaar signalen zijn binnengekomen bij onze Klantenservice. Deze signalen staan mogelijk in relatie tot het issue dat ons vorige week gemeld is. Het gaat hierbij om een beperkt aantal incidentele meldingen, waarbij het niet mogelijk is geweest om deze te reproduceren. Hierdoor was het niet mogelijk om een goede oplossing te vinden. Helaas is er één melding binnengekomen bij onze klantenservice met een pdf van een transactieoverzicht van een andere kaarthouder. Deze mail is per abuis niet doorgestuurd naar onze IT-afdeling en dus niet verder in het onderzoek meegenomen. Door de printscreens van onze melder hebben we dus afgelopen week pas meer inzicht gekregen in de oorzaak en daardoor ook in de oplossing. Wij willen nogmaals benadrukken dat wij het vervelend vinden dat dit probleem zich heeft voorgedaan. Wij gaan dit probleem dan ook verder met onze leverancier analyseren en maatregelen nemen om dit in de toekomst te voorkomen." [TLS, 2014-08-12]

Nasleep van het incident

"D66 vindt het zorgelijk dat opnieuw een beveiligingsfout naar boven komt met de OV-chip terwijl privacy juist zo belangrijk is. D66-Tweede Kamerlid Stientje van Veldhoven wil van staatssecretaris Wilma Mansveld (Infrastructuur) weten hoe lang dit probleem al speelt, hoe vaak het voorkwam en dat mensen van wie de gegevens is ingezien, daarover worden ingelicht. Daarna moeten er maatregelen komen om dit 'ernstige probleem' in de toekomst te voorkomen. Wat haar betreft worden alternatieven ontwikkeld voor het mobiel betalen van openbaar vervoer." [AG, 2014-08-11]

"Het Responsible Disclosure-beleid van TLS maakt het voor ontdekkers van kwetsbaarheden in het systeem van de OV-chipkaart onaantrekkelijk om daadwerkelijk meding van zo'n (data)gat te doen. Het beleid staat vol met verregaande restricties en het niet helemaal navolgen daarvan kan leiden tot juridische consequenties. Een van de 'spelregels' die TLS hanteert is dat de kwetsbaarheid niet openbaar mag worden gemaakt. Verder staat er dat 'het onderzoeken naar of van een kwetsbaarheid nooit mag leiden tot financiele, juridische, operationele of imagoschade van TLS.' Met name dat laatste is een lastige. Imagoschade is nauwelijks te meten en als een gevonden kwetsbaarheid openbaar wordt gemaakt, zelfs na reparatie, zou een beroep op het lijden van imagoschade al snel tot vervolging van de melder kunnen leiden." [Webwereld, 2014-08-26]

"Volgens TLS is haar Responsible Disclosure beleid gebaseerd op het beleid zoals vorig jaar door het Nationaal Cyber Security Centrum (NCSC) is opgesteld. Echter, daarin wordt (het voorkomen van) imagoschade niet genoemd en ook mag een lek gewoon gemeld worden, maar wel het liefst in samenspraak met het getroffen bedrijf. Kortom: dit antwoord verklaart niet waarom TLS deze bepalingen heeft opgenomen. Het is meer waarschijnlijk dat de schrik er bij TLS goed in zit, nu zij de afgelopen jaren al meerdere keren negatief in het nieuws geweest is door een lek in het OV-chipcard systeem. Dit vraagt naar mijn mening juist om een open en transparant Responsible Disclosure beleid. Mijn suggestie aan TLS is te doen wat ze zeggen, namelijk het op dit punt betere beleid van de NCSC te volgen!" [SOLV, 2014-08-26]

Bronnen

2014-08-09

2014-08-11

2014-08-12

2014-08-26

.