Datalek NMBS

[Ramaht]

Het verwondert mij dat hierover nog geen topic verschenen was...

Datalek NMBS treft mogelijk 1,5 miljoen reizigers
NMBS: 'Onderzoek datalek duurt langer door kerstvakantie'

Jammer dat de website waarop je kon checken of jouw gegevens erbij zaten offline gehaald is.
Ik heb wel nog tijdig kunnen kijken en jammergenoeg zaten de mijne er ook bij.


Ik heb geen abonnement bij de NMBS, wat ik wel gedaan heb de afgelopen 2 jaar is een aantal keer een e-ticket besteld.
Waarom mijn gegevens bewaard worden als ik een e-ticket bestel is mij een raadsel, het is niet dat ze mij een bedankje ervoor gaan sturen...


Toch ongelooflijk hoe lichtzinnig er met alles omgesprongen wordt.
Moest de data nu nog geëncrypteerd zijn en er een inbraak/hack geweest zijn. En het duidelijk is dat er kwaad opzet in het spel is, dan zou ik het nog wel kunnen begrijpen. Maar nu toont het wederom dat incompetentie het motto is van de NMBS...

[Didymus]

Mijn gegevens zitten er eveneens bij. Zolang de gelekte gegevens niet misbruikt worden door derden valt er juridisch gezien niet veel tegen te beginnen.

[driesve]

In hun voorwaarden staat

De NMBS heeft het recht de meegedeelde persoonsgegevens te gebruiken om u te informeren, voor het uitvoeren van marktstudies of voor de ontwikkeling van producten. NMBS kan uw persoonsgegevens gebruiken om haar aanbod te personaliseren en om u de diensten te leveren die voor u relevant zijn. NMBS mag deze gegevens meedelen aan andere fysieke of rechtspersonen die contractueel aan NMBS verbonden zijn. In dat geval hebben ze enkel toegang tot de gegevens die ze nodig hebben om hun opdracht uit te voeren. Buiten dit geval mogen de verzamelde gegevens niet aan derden worden meegedeeld.

Over de betekenis van "meedelen" kan gediscuseerd worden. Gegevens publiek maken, vind ik persoonlijk gelijk aan meedelen.

[sirWard]

Ook ik heb gezien dat -weliswaar alleen maar- mijn e-mailadres gelekt is. Ik vermoed bij het aankopen van tickets, want een abonnement heb ik niet.

Ik wil nu wel eens weten waarom die gegevens worden bewaard (ik denk aan die arme mensen waarvan naast hun adres ook de geboortedatum en telefoonnummers zijn gelekt), hoelang en waarom de database in eerste instantie al niet geëncrypteerd was...

Ik ben nu in ieder geval niet zo happig meer om mijn elektronische identiteitskaart te gebruiken als ticket.

[on4bam]

Niemand die zich afvraagt hoe het zit met die site waar je kan op checken?
Ik heb een testje gedaan en als naam Piet Snot ingevuld. Er kwam een lange lijst met "Piet Snot's tevoorschijn waarvan er bij de ene al meer dan bij de andere zou gelekt zijn. Ik kan me niet voorstellen dat dit allemaal echt bestaande personen waren (er zaten er bij met "random" namen als ghfftf. Ik heb dus mijn twijfels bij sncb.fredericjacobs.com niettegenstaande zijn profielen op de social media.

[ubremoved_539]

Although no one has contacted me officially yet. I took the website down.

This follows the fact that the Privacy Commission didn’t support the initiative.

If the SNCB / NMBS wants to host it it will be my great pleasure to give them the source code.

If you want to learn more about the topic I would suggest you to read : NMBS heeft een groter probleem dan het denkt

My story ends here but your personal data probably still spreads on the internet.

[bambipower]

Wie wil weten of zijn gegevens op de bewuste lijst voorkomen, kan de NMBS contacteren via een webformulier op de klantendienst van NMBS Europe. Voeg een scan van de voorzijde van uw identiteitskaart toe als bewijs van uw identiteit, zoals vereist door de Privacywet.

http://www.tijd.be/nieuws/ondernemingen ... .art?ckc=1

grapjassen... wie gaat dat risico nemen, met scan van identiteitskaart...

[Ramaht]

Te absurd voor woorden eigenlijk...

[Goztow]

Kunnen ze die ook op het net zetten?

[ Post made via mobile device ]

[pussyfooter]

Ik heb in juni 2012 een ticketje online gekocht, nochtans kwam ik niet op de lijst voor.

[MClaeys]

Het stomste is dat de NMBS niet eens de moeite doet om zelf even te melden of je gegevens gelekt zijn.
Een kopie van men pas sturen ga ik ook niet doen, dan maar rechtstreeks een klacht bij de privacy commissie? De site was al dicht om het zelf te checken

[driesve]

Er zijn ondertussen al 1.700 klachten bij de privacy commissie. Heeft iemand dat al gedaan? Zoja, is dat veel moeite? Mijn gegevens zijn ook gelekt en niet dat ik er veel aandacht aan besteed (je vindt dat emailadres ook elders op internet), maar wel omwille van hun reactie achteraf.

[Sasuke]

Het is niet enkel je email adres, maar het feit dat (als je een abbo hebt, zoals ik), ook je geboortedatum, volledige naam én thuis adres gelinked is. Dit is ENORM interessante informatie voor inbrekers, marketeers, oplichters en zelfs gewone reclamebedrijven zullen dit zeer interessant vinden !

Weet er iemand hoe je precies zo'n klacht indient bij de privacy commissie ?

[driesve]

Correct, maar toch mijn grote verbazing gaf die website enkel aan dat mijn emailadres gelekt is, terwijl ik wel twee abonnementen heb. Voor de geïnteresseerden heb ik deze standaardbrief al gevonden.


Voor degene die niet op Twitter zitten: er is ook een lek bij de Belgische defensie: http://www.dejonck.be/2013/01/not-only- ... aking.html

[johann]

Niemand die zich afvraagt hoe het zit met die site waar je kan op checken?
Ik heb een testje gedaan en als naam Piet Snot ingevuld. Er kwam een lange lijst met "Piet Snot's tevoorschijn waarvan er bij de ene al meer dan bij de andere zou gelekt zijn. Ik kan me niet voorstellen dat dit allemaal echt bestaande personen waren (er zaten er bij met "random" namen als ghfftf. Ik heb dus mijn twijfels bij sncb.fredericjacobs.com niettegenstaande zijn profielen op de social media.

Nee, zo verwonderlijk is dat niet hoor. Er is een tijd geweest, en nu voor sommige bewerkingen nog, dat je slechts een prijsopgave te zien kreeg nadat je je persoonlijke gegevens had ingevuld. Absoluut not done natuurlijk, maar de NMBS deed het dus wel. Ik koos in zulke gevallen al eens voor 'Klanten Dienst' met [email protected] als e-mailadres. Ik kan me dus goed voorstellen dat anderen dan naar 'Piet Snot' grijpen.

Voor de treinkaarthouders die zich een beetje verwonderd afvragen waarom er niet meer gegevens gelekt zijn: dit betreft het bestand van NMBS Europe, de internationale divisie dus. In hoeverre de databases nationaal en internationaal aan elkaar gekoppeld zijn, of ooit aan elkaar gekoppeld geweest zijn, kan ik basis van de gegevens die we hebben moeilijk inschatten. In ieder geval stonden er voor mij twee records in de DB, eentje met adresgegevens en eentje zonder, dus misschien was dat wel te wijten aan de koppeling van nationaal (zonder adres) en internationaal (met adres). Sowieso is het een ruwe DB, want sommige - reëel bestaande en mij bekende - mensen staan er vijf keer in.

De hamvraag blijft: wat stond dat bestand daar in vredesnaam te doen? De NMBS zo'n beetje kennende en de interne puinhoop die ze ervan maken met hun niet-eenheidsstructuur, zou het wel eens een courante praktijk kunnen zijn om gegevens tussen verschillende diensten die niet op hetzelfde netwerk kunnen, op die manier uit te wisselen. Het zou me allerminst verbazen mochten er nog soortgelijke lekken in het systeem zitten. Opvallend ook: op My Train (NMBS binnenland) kan ik al enkele dagen niet meer inloggen. Toeval?

[Avenger 2.0]

Er zijn ondertussen al 1.700 klachten bij de privacy commissie. Heeft iemand dat al gedaan? Zoja, is dat veel moeite? Mijn gegevens zijn ook gelekt en niet dat ik er veel aandacht aan besteed (je vindt dat emailadres ook elders op internet), maar wel omwille van hun reactie achteraf.

Hoe kan je navragen of er gegevens van je gelekt zijn of/en dan een klacht indienen? Bij de link uit het artikel moet je juist al je persoonsgegevens op de nmbs website invullen, iets waar ik absoluut geen vertrouwen in heb na dit lek...

[ubremoved_539]

Het is niet enkel je email adres, maar het feit dat (als je een abbo hebt, zoals ik), ook je geboortedatum, volledige naam én thuis adres gelinked is. Dit is ENORM interessante informatie voor inbrekers

Wat heeft een inbreker aan je volledige naam en adres... gans het telefoonboek staat er namelijk vol van !

[qless]

Als iemand dat bronbestand heeft maak ik wel nieuwe versie van de checker, hosting op server in nl

[ Post made via mobile device ]

[solid-killer]

@ r2504: Identiteitsdiefstal heet dat. aangezien ze alle gegevens hebben die op je paspoort staan en eventueel rekeningnummers waarmee je ooit eens een betaling hebt gedaan aan een loket. Ik zou niet graag willen dat er mensen op mijn naam enzo dingen kunnen uitvoeren waar ik geen weet van heb

@hierboven: de reden waarom die checker offline werd gehaald is omdat de privacycommissie er niet erg mee gediend was, ik zou het dus afraden om zoiets terug online te zetten

[qless]

Privacy commissie kan in be geen boete opleggen.. Daarvoor moet het doorgestuurd worden naar parket. Trouwens zodra nmbs iedereen zelf heeft verwittigd kan dat weer offline.

[ Post made via mobile device ]

[ubremoved_539]

@ r2504: Identiteitsdiefstal heet dat.

Da's iets anders dan inbraak... da's oplichting. In ieder geval is een naam en geboortedatum vinden van iemand geen kunst (Facebook staat er vol mee).

[driesve]

De volgende quote uit een artikel uit de standaard.

Na een intern onderzoekt blijkt dat een werknemer op een verkeerde knop heeft geduwd toen hij een bestand wilde leegmaken waarin de gegevens stonden. ‘Om dat te doen, moest hij de gegevens even op een onbeveiligde server plaatsen. Uiteindelijk zijn die gegevens per ongeluk op die onveilige server blijven staan.

Maw: de gegevens gingen sowieso eventjes onbeveiligde server staan. En klaarblijkelijk was deze server ook aangesloten op het internet.

[Splitter]

wacht, dus de nmbs zegt dat je, om een bestand op locatie X *leeg* te maken, dat eerst dus op locatie Y moet zetten?
waar zit die logica?
om dan nog te zwijgen over een op internet aangesloten, en onbeveiligde server...
of hoe je met de druk op een knop klantenbestanden blijkbaar van beveiligde locatie X naar onbeveiligde locatie Y kan verplaatsen (per ongeluk dan nog)

hoeveel krijgen die managers ginds ook alweer per maand?

[ubremoved_539]

Gewoon nog maar het feit dat iemand zomaar aan de document root van de webserver geraakt en daar iets kan neerzetten (vermoedelijk staat z'n privé pron collectie daar ook zodat hij die makkelijk met collega's kan delen of wat ?)

Volgt men daar geen procedures... development, system testing, acceptatie... en dan in productie ?

[ubremoved_15739]

Het lukt hen niet eens om altijd met treinen te rijden waarvan de deuren gesloten zijn.
Rijden met treinen is nochtans hun core business...
NMBS = zielige overheidsinstantie.

[Nielsvds]

Je zou eigenlijk nooit zonder log-in gegevens op een server mogen inloggen. Door te surfen naar ftp://ftp.URL.be. De enigste uitzonderingen zijn de ftp servers om software updates te downloaden, drivers, handleidingen opstaan. Het grootste risico is dat anoniem inloggen op een FTP server toegestaan was. Niet geïnstalleerde beveilingsupdates voor de IIS server. Zelfs dan nog had dit belangrijke bestand op zijn minst met een wachtwoord beveiligd worden.

[ubremoved_539]

Het grootste risico is dat anoniem inloggen op een FTP server toegestaan was.

Absoluut niet... anonymous is uiteindelijk nog steeds een gebruiker waar rechten aan verbonden zijn.

Maar of dit toegelaten is of niet maakt niet uit... het bestand had NOOIT op een publieke server mogen staan !

[tendonsie]

En zo staan mijn gegevens lekker openbaar, bedankt NMBS.

Jaar gratis abo nu of?

Zoveel duizenden mensen in dienst, maar een ICT dienst met ten minste één goeie expert zit er blijkbaar niet in...

[Nielsvds]

Maar je kan wel altijd zo tot een share geraken, het lezen van documenten is dan al voldoende. Als je een standaard iets sharet en de machtigingen niet aanpast, heeft iedereen leesrechten. Wat hier al voldoende is. Ok, ik was misschien een beetje kort door de bocht, maar de andere reden is inderdaad het rechten probleem.

[ubremoved_539]

Nogmaals... op servers die aan het internet hangen horen zo'n documenten niet thuis... punt !

Dergelijke servers zijn productie machines en daar komt normaal NIETS op zonder de nodige procedures (en daar is het hier duidelijk serieus fout gegaan als zomaar iemand daar dergelijk documenten kan op plaatsen).

[ubremoved_21569]

Het regent persoonsgegevens...
Misschien moeten de nmbs, het leger en Jobat genomineerd worden voor de Big Brother Awards!
Maar wie te kiezen uit de drie?
Of alledrie?

[duizend]

Nie aan het overreacten mannen ???

Hier staan al jaar en dag jullie persoonsgegevens die nu "gelekt" zijn

www.wittegids.be

Sterker nog, vroeger voordat er internet bestond, werden er boeken gedrukt met deze gegevens en aan iedereen thuis uitgedeeld !!!

[on4bam]

Sterker nog, vroeger voordat er internet bestond, werden er boeken gedrukt met deze gegevens en aan iedereen thuis uitgedeeld !!!

Daar stonden geen geboortedatums e.d. in, je had ook de keuze om daar niet in te staan.
De lekken die recent in de media kwamen bevatten meer gegevens en keuze had je ook niet, gelekt is gelekt.

[ubremoved_539]

Nie aan het overreacten mannen ???

Tja, mensen zetten 10x meer op Facebook over zichzelf ook... maar dat neemt niet weg dat de NMBS zwaar in de fout is gegaan.