NS dicht beveiligingslek in website
De NS heeft een beveiligingslek op haar website gedicht waardoor een aanvaller toegang tot klantgegevens kon krijgen. Op het klantendeel van de NS site was het voor mensen die nog geen NS account hadden mogelijk om zich met behulp van hun NS klantnummer aan te melden. In het aanmeldproces werd om het klantnummer gevraagd, de te gebruiken inlognaam, wachtwoord en het e-mailadres. Naar dat e-mailadres werd vervolgens een bevestigingse-mail gestuurd, waarna kon worden ingelogd.
Het aanmeldproces controleerde niet of het desbetreffende klantnummer al een inlognaam had. Ook werd niet gecontroleerd of van het desbetreffende klantnummer al een e-mailadres bekend was en zo ja, of dat overeenkwam met het nieuw ingegeven e-mailadres. Wat het aanmeldproces wel deed, was het nieuw aangemaakte account op de achtergrond koppelen met het dossier van het desbetreffende klantnummer.
Een aanvaller zou met kennis van iemands klantnummer, zijn of haar account kunnen "stelen" en vervolgens al diens persoonlijke gegevens bekijken en aanpassen. Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer. Ook was het mogelijk op naam van die persoon producten, zoals bepaalde abonnementen, te bestellen.
In een reactie tegenover Security.NL laat de NS weten dat het niet meer mogelijk is om zich alleen via het klantnummer aan te melden. De manier was bedoeld om mensen eenvoudig een account te laten maken, "als service naar de klant toe", zegt woordvoerder Rob Hageman. Er zouden ook nog geen gevallen van misbruik bekend zijn. Als de OV-chipkaart straks wordt ingevoerd zal de NS de beveiliging van het systeem verder omhoog schroeven.
De hele zaak kwam aan het rollen toen een NS-klant een pasfoto formulier van de NS ontving. Daarmee moest hij, als voordeelurenkaarthouder (VDU), zijn pasfoto insturen. De VDU is door de NS gekoppeld aan een OV-chipkaart, waardoor het voor abonnementhouders niet mogelijk is om anoniem te reizen met de trein. Hageman laat weten dat het reisverkeer en de persoonsgegevens gescheiden worden bewaard, en alleen gekoppeld worden in bepaalde gevallen, bijvoorbeeld als de klant in het geval van vertragingen geld terugkrijgt. Reizigers die gesteld zijn op hun privacy moeten straks dan ook diep in de buidel tasten, omdat korting er niet meer in zit.
Update: typo gefixt
Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer.
Zozo... telefoonboek dan niet wat makkelijker?
[url=https://klanten.ns.nl/psp/ps/CUSTOMER/CRM/c/NS_REGISTRATIE.NS_MIJNNS_AANMELD.GBL
]deze pagina is te volgen[/url] hoe de NS de
aanmeldprocedure aan het wijzigen is.
maar uiteraard nooit meer iets van gehoord. Wakkere jongens
daar.
Ze hebben ook weinig affiniteit met privacy, daar hebben ze
onlangs de mooie Big Brother Award voor gekregen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
