De NS heeft een beveiligingslek op haar website gedicht waardoor een aanvaller toegang tot klantgegevens kon krijgen. Op het klantendeel van de NS site was het voor mensen die nog geen NS account hadden mogelijk om zich met behulp van hun NS klantnummer aan te melden. In het aanmeldproces werd om het klantnummer gevraagd, de te gebruiken inlognaam, wachtwoord en het e-mailadres. Naar dat e-mailadres werd vervolgens een bevestigingse-mail gestuurd, waarna kon worden ingelogd.
Het aanmeldproces controleerde niet of het desbetreffende klantnummer al een inlognaam had. Ook werd niet gecontroleerd of van het desbetreffende klantnummer al een e-mailadres bekend was en zo ja, of dat overeenkwam met het nieuw ingegeven e-mailadres. Wat het aanmeldproces wel deed, was het nieuw aangemaakte account op de achtergrond koppelen met het dossier van het desbetreffende klantnummer.
Een aanvaller zou met kennis van iemands klantnummer, zijn of haar account kunnen "stelen" en vervolgens al diens persoonlijke gegevens bekijken en aanpassen. Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer. Ook was het mogelijk op naam van die persoon producten, zoals bepaalde abonnementen, te bestellen.
In een reactie tegenover Security.NL laat de NS weten dat het niet meer mogelijk is om zich alleen via het klantnummer aan te melden. De manier was bedoeld om mensen eenvoudig een account te laten maken, "als service naar de klant toe", zegt woordvoerder Rob Hageman. Er zouden ook nog geen gevallen van misbruik bekend zijn. Als de OV-chipkaart straks wordt ingevoerd zal de NS de beveiliging van het systeem verder omhoog schroeven.
De hele zaak kwam aan het rollen toen een NS-klant een pasfoto formulier van de NS ontving. Daarmee moest hij, als voordeelurenkaarthouder (VDU), zijn pasfoto insturen. De VDU is door de NS gekoppeld aan een OV-chipkaart, waardoor het voor abonnementhouders niet mogelijk is om anoniem te reizen met de trein. Hageman laat weten dat het reisverkeer en de persoonsgegevens gescheiden worden bewaard, en alleen gekoppeld worden in bepaalde gevallen, bijvoorbeeld als de klant in het geval van vertragingen geld terugkrijgt. Reizigers die gesteld zijn op hun privacy moeten straks dan ook diep in de buidel tasten, omdat korting er niet meer in zit.
Update: typo gefixt
Deze posting is gelocked. Reageren is niet meer mogelijk.