image

NS dicht beveiligingslek in website

woensdag 3 oktober 2007, 11:48 door Redactie, 4 reacties

De NS heeft een beveiligingslek op haar website gedicht waardoor een aanvaller toegang tot klantgegevens kon krijgen. Op het klantendeel van de NS site was het voor mensen die nog geen NS account hadden mogelijk om zich met behulp van hun NS klantnummer aan te melden. In het aanmeldproces werd om het klantnummer gevraagd, de te gebruiken inlognaam, wachtwoord en het e-mailadres. Naar dat e-mailadres werd vervolgens een bevestigingse-mail gestuurd, waarna kon worden ingelogd.

Het aanmeldproces controleerde niet of het desbetreffende klantnummer al een inlognaam had. Ook werd niet gecontroleerd of van het desbetreffende klantnummer al een e-mailadres bekend was en zo ja, of dat overeenkwam met het nieuw ingegeven e-mailadres. Wat het aanmeldproces wel deed, was het nieuw aangemaakte account op de achtergrond koppelen met het dossier van het desbetreffende klantnummer.

Een aanvaller zou met kennis van iemands klantnummer, zijn of haar account kunnen "stelen" en vervolgens al diens persoonlijke gegevens bekijken en aanpassen. Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer. Ook was het mogelijk op naam van die persoon producten, zoals bepaalde abonnementen, te bestellen.

In een reactie tegenover Security.NL laat de NS weten dat het niet meer mogelijk is om zich alleen via het klantnummer aan te melden. De manier was bedoeld om mensen eenvoudig een account te laten maken, "als service naar de klant toe", zegt woordvoerder Rob Hageman. Er zouden ook nog geen gevallen van misbruik bekend zijn. Als de OV-chipkaart straks wordt ingevoerd zal de NS de beveiliging van het systeem verder omhoog schroeven.

De hele zaak kwam aan het rollen toen een NS-klant een pasfoto formulier van de NS ontving. Daarmee moest hij, als voordeelurenkaarthouder (VDU), zijn pasfoto insturen. De VDU is door de NS gekoppeld aan een OV-chipkaart, waardoor het voor abonnementhouders niet mogelijk is om anoniem te reizen met de trein. Hageman laat weten dat het reisverkeer en de persoonsgegevens gescheiden worden bewaard, en alleen gekoppeld worden in bepaalde gevallen, bijvoorbeeld als de klant in het geval van vertragingen geld terugkrijgt. Reizigers die gesteld zijn op hun privacy moeten straks dan ook diep in de buidel tasten, omdat korting er niet meer in zit.

Update: typo gefixt

Reacties (4)
03-10-2007, 12:01 door Anoniem

Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer.

Zozo... telefoonboek dan niet wat makkelijker?
03-10-2007, 12:03 door Anoniem
Op
[url=https://klanten.ns.nl/psp/ps/CUSTOMER/CRM/c/NS_REGISTRATIE.NS_MIJNNS_AANMELD.GBL
]deze pagina is te volgen[/url] hoe de NS de
aanmeldprocedure aan het wijzigen is.
03-10-2007, 12:59 door spatieman
en waneer dicht de NS haar lekke infrastructuur ???
03-10-2007, 13:41 door jeed
Ik heb de NS meer dan een jaar geleden gemaild over dit lek,
maar uiteraard nooit meer iets van gehoord. Wakkere jongens
daar.
Ze hebben ook weinig affiniteit met privacy, daar hebben ze
onlangs de mooie Big Brother Award voor gekregen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.