about
Toon menu

NMBS onthult persoonlijke gegevens van meer dan een miljoen gebruikers

maandag 24 december 2012

Gedurende verschillende weken waren de persoonlijke gegevens van meer dan een miljoen klanten van de NMBS Europa vrij toegankelijk op het internet. De data waren bereikbaar met een simpele zoekopdracht via google. De officiële reactie van de NMBS is op zijn zachtst gezegd eigenaardig. Nergens geven ze toe dat er een fout gemaakt wordt en verontschuldigingen kunnen er niet vanaf. Het enige wat ze doen, is minimaliseren en schieten op de boodschapper.

Zaterdagmiddag 22 december 2012. Ene megatroll laat op het Belgisch ADSL forum weten dat hij via google een lijst met klanten van de NMBS Europa gevonden heeft. Een zoekopdracht van het type “site:www.b-europe.com filetype:txt” heeft een ellenlange lijst op met naam, functie, e-mailadres en in sommige gevallen ook geboortedatum, adres en telefoonnummer van treingebruikers opgeleverd. Het bestand is 181,6 MB groot en bevat de gegevens van exact 1.460.735 personen. Volgens de cache van google staan de gegevens al minstens sedert 3 december online, volgens de cache van andere zoekmachines is dat zelfs al vroeger.

In een reactie voor het nieuws van RTL-TVI probeert een woordvoerder van de NMBS de zaak te minimaliseren én de schuld te leggen bij de ontdekker van de gegevens. Die laatste wordt een hacker genoemd, wat nogal belachelijk is voor iemand die een zoekopdracht via google uitvoert. In het interview heeft de woordvoerder het ook maar over “enkele” en over “een paar duizend” gegevens. Wat dus flagrant gelogen is. De man getuigt ook van een heel beperkte kennis van zaken, wanneer hij een gegevensbank als privé bestempelt – als blijkt dat die zonder beveiliging of paswoord op een webserver geplaatst wordt. Blijkbaar is het feit dat een url niet gepubliceerd wordt, voor de nmbs al voldoende om een databank als “niet-openbaar” te bestempelen.

Wat de nmbs ook beweert, feit is dat de spoorwegmaatschappij op zijn minst onzorgvuldig is omgesprongen met de gegevens van haar klanten. Andre Loconte, woordvoerder van NURPA:

“In tegenstelling tot wat de woordvoerder van NMBS Europe beweert, heeft de surfer die de informatie onthulde geen gebruik gemaakt van een truc om het bestand te openen. Deze lijst van 1.460.734 klanten was vrij toegankelijk via een onschuldige zoekopdracht met een zoekmachine. NMBS Europe heeft de persoonlijke gegevens van zijn gebruikers op onverantwoordelijke wijze beheerd. Door geen actie te ondernemen om ervoor te zorgen dat deze gegevens niet toegankelijk zijn voor het publiek, heeft NMBS Europe gefaald in haar plicht om de persoonsgegevens van haar klanten te beschermen.”

Het zou al een goed begin zijn als de NMBS op zijn minst haar fout zou toegeven en openlijk excuses aanbood. Dat zou al iets beter zijn dan de zaak te minimaliseren en op de boodschapper te schieten. Maar het is vooral verontrustend om zien op welke incompetente en onverantwoorde manier er telkens weer omgesprongen wordt met persoonlijke gegevens. De gegevens van meer dan een miljoen klanten onbeveiligd op het internet zetten, kan je niet anders omschrijven dan als grove nalatigheid. Hopelijk trekt de NMBS toch één simpele conclusie uit deze hele affaire, namelijk dat dit soort bestanden met persoonlijke gegevens niet thuis hoort op een publieke webserver.

Headers van het gegevensbestand:
cust_id, CONTACT_STATE, ACTIVE, DISTRIBUTEUR, CUST_TYPE, GENDER, voornaam, achternaam,  geboortedatum LOGON_ID, geregistreerd, CONTACT_LANGUAGE, CONTACT_LANGUAGE_XX, STRAAT, HOUSE_NR,
ADDITIONAL_NR, postal_code, stad, land, PRIVATE_FIXED_TELEPHONE, PRIVATE_MOBILE_TELEPHONE, BUSINESS_TELEPHONE, E-MAIL.

Over minimaliseren gesproken. In verschillende Vlaamse kranten gaat het als volgt: “Een document met daarin de gegevens van sommige klanten van de NMBS was zaterdag een tijdje beschikbaar op de website van de spoorwegmaatschappij.” Er is ook nog steeds sprake van een hacker en dat de bewuste gegevens met een normaal gebruik van de website niet toegankelijk waren. Quod non. Maar laat dit toch duidelijk zijn: datalekken los je niet op door ze in de doofpot te stoppen.

Oorspronkelijk bericht: NMBS Europa onthult persoonlijke gegevens van meer dan een miljoen gebruikers (datapanik.org)

reageer

6 reacties

  • door Alysa op dinsdag 25 december 2012

    Normaal lach ik eens om die mensen die veel van hun privé-leven op internetsites als Facebook, Twitter zetten, en wat dies meer zij zetten, deze mensen kiezen er immers vrijwillig voor, de mensen die hun gegevens aan de NMBS gegeven hadden kozen er naar alle waarschijnlijkheid niet zelf voor om hun gegevens zo maar op internet te weten staan hebben, dat een zogenaamde 'hacker' dit zomaar kon laten merken is ongehoord, laatst hoorde ik ook van een Antwerps advokaat die pleitte voor DNA-gegevens van pasgeborenen reeds in een databank te steken, zodat die persoon later bij een eventuele misdaad van hem/haar zelf of van iemand anders, gemakkelijk via zijn/haar DNA opgespoord kan worden, Big Brother in Europa is (blijkbaar) erg, maar is zo mogelijk nog erger wanneer zijn systeem niet perfect verloopt en anderen met zijn gegevens aan de haal kunnen, of deze gegevens door een overheid misgebruikt of verkeerdelijk aangewend kunnen worden! Het boek "Big Brother in Europa" verschenen bij EPO van Raf Jespers is een échte aanrader!

  • door rikke op dinsdag 25 december 2012

    De grootste schending van de privacy door big brother loop via de allerlei klantenkaarten. Onder het mom van kortingen luizen allerlei plat commerciële bedrijven en organisaties je privé gegevens af. Binnen de kortste tijd hebben ze via de koppeling van deze gegevens met jouw aankopen, een perfect profiel van jouw privé leven tot en met de maat van je onderbroek en je persoonlijke smaak van eten, kleden en verzorgen. Bovendien verdienen ze ook nog eens dik aan die gegevens door ze voor allerhande commerciële activiteiten door te verkopen. En de privacycommissie slaapt voort, zoals Raf Jespers in z'n boek aantoont.

    • door Alysa op woensdag 26 december 2012

      Ja, inderdaad die elektronische klantenkaarten en wat ze ermee doen, zijn een groot probleem, gelukkig heb ik er maar een die ik zeer regelmatig gebruik, die van de Carrefour,( bah, gek woord, in relatie tot een groot-warenhuis, toch) en gelukkig kopen wij onderbroeken op de markt, daar werken ze nog niet met elektronische klantenkaarten , zover mij bekend!

  • door Bram op woensdag 26 december 2012

    Misschien moeten we de NMBS nomineren voor de Big Brother Awards van de Liga voor Mensenrechten...

    • door Alysa op woensdag 26 december 2012

      "Big Brother Awards van de Liga voor Mensenrechten", bestaan die dan? (Ironisch bedoeld)

  • door Le grand guignol op woensdag 26 december 2012