image

Website ov-chipkaart.nl lekte al veel langer gegevens

maandag 11 augustus 2014, 17:42 door Redactie, 12 reacties

De website ov-chipkaart.nl blijkt al veel langer gegevens van kaartgebruikers gelekt te hebben dan eerst werd gemeld, zo blijkt uit mailwisselingen tussen reizigers en de klantenservice van de site. Dit weekend werd bekend dat een gebruiker die een account aanmaakte de data van andere reizigers te zien kreeg.

Trans Link Systems (TLS), het bedrijf achter de OV-chipkaart, bevestigde het probleem en stelde dat het verder geen klachten had ontvangen. De eerste meldingen over het probleem dateren echter van begin dit jaar, zo meldt Nu.nl. Die meldingen werden echter niet naar de technische dienst van TLS doorgestuurd, die daardoor niet op de hoogte van het probleem was.

Nadat een gebruiker het probleem uitgebreid in een e-mail beschreef en van screenshots voorzag ging TLS met de fout aan de slag. Ook in juni zou er echter al bewijs van de fout zijn opgestuurd. Een woordvoerder van het het bedrijf laat weten dat het niet had mogen gebeuren, maar wel is gebeurd. Alle gebruikers die melding van het lek maakten krijgen alsnog een reactie.

Volgens de woordvoerder was het uit de lucht halen van de website geen optie, omdat zoveel mensen er gebruik van maken. Morgen is TLS van plan een update uit te rollen om het probleem te verhelpen.

Reacties (12)
11-08-2014, 17:55 door [Account Verwijderd]
[Verwijderd]
11-08-2014, 18:15 door Anoniem
Volgens http://www.nieuws.nl/algemeen/20140811/Al-eerder-meldingen-over-lek-site-OV-chipkaart is het nog mooier:
Vanaf januari hebben vijftien gebruikers van de website het probleem gemeld. "We kwamen daar pas achter nadat we in het weekend onderzoek gedaan hebben", aldus de zegsvrouw maandag. Volgens haar kon TLS eerder niets met de meldingen omdat die niet concreet waren. "We snapten niet goed wat er aan de hand was."

Ze hebben daar stapels dikbetaalde bobos en ze zijn al meer dan twintig jaar aan het "ontwikkelen", en dan krijg je dus dit soort gein. Ze snapten het niet zo goed. Want wat ze doen is wel heel moeiluk hoor.

Moet ik nou echt gaan uitleggen dat je zo'n bedrijf start met de verzamelde vervoersbedrijven samen zodat je dan expertise kan aantrekken, zodat je kennis kan samenballen en daarmee oplossingen voor lastige problemen kan creeren? Zodat je dan dus niet iedereen op zichzelf het wiel opnieuw hoeft uit te vinden. Dat het dus de kerntaak is van TLS om een goede oplossing te leveren. Waar dus zowel "het werkt naar behoren" als "het is rubuust beveiligd" onder vallen. En dat het dan dus niet aangaat dat je als bedrijf-als-probleemoplosser gaat vertellen dat je het eigenlijk niet aankan.

Vooral niet omdat ze drijven op ettelijke miljarden aan, grotendeels publiek, geld uitgegeven aan... wat eigenlijk? Niet aan het binnenhalen of anderszins vergaren en vasthouden van expertise, dat is wel duidelijk.

Het is ook niet de eerste keer dat ze roepen dat ze iets niet kunnen. Zoals bijvoorbeeld die makkelijk te kraken kaartjes die TLS niet "kon" vervangen maar die in London al uitgebreid in gebruik waren. Of allerlei operationele details waardoor er bij het minste of geringste probleem met dit electronische systeem de klant toch maar weer met papieren formulieren in de weer mocht. Of meer van dat moois uit een goedgevulge truukendoos genaamd TLS.

Maar dit is wel een stuitende en pijnlijk duidelijke toegeving van onvermogen zeg. Waarom moeten we verplicht voor dit prutsysteem betalen? Ik zeg afschaffen, subiet, en de toplui op het schavot, allemaal.
11-08-2014, 19:07 door Anoniem
Een "lek" is pas een lek als onbevoegden per ongeluk toegang krijgen tot datakanalen die bewust zijn gecreëerd om de verschillende overheden (club Opstelten) toegang te verschaffen tot onze privé gegevens. Vandaar dat er geen actie is ondernomen. Oracle worstelt er al jaren mee.
11-08-2014, 19:31 door [Account Verwijderd]
[Verwijderd]
11-08-2014, 19:49 door privacy4all
Door rufus-1.4.9.exe: Ik ga liever met mijn auto op stap. Lekker anoniem, even snel als de trein.
Rufus, anonem?
Wil je voor mij het aantal camera's tellen dat je onderweg tegenkomt. En dan niet alleen de flitsers (let speciaal eens op de belastingcamera (staat op het tegemoet komende verkeer in gericht)), de tracjectcontroles en andere camera's die op veel plekken je kenteken of inhoud van de wagen staan te controleren. Kom in mijn ochtend halfuur er al minimaal 30 stuks tegen!
12-08-2014, 09:12 door linuxpro
Dat Translink systems een incapabele club graaiers is (en in dat graaien zijn ze dan weer heel goed) was al veel langer duidelijk. Ongelofelijk dat die club nog bestaat. Niets doen omdat je het lek niet 'snapt'. Dan trek je de stekker er uit en ga je offline zitten debuggen net zo lang dat je het lek vind en je laat niet de boel online met alle risico's van dien. Ook al kan je na een half jaar achteroverleunen wel denken 'er is toch niets gebeurd' weet je niet hoeveel mensen al dan niet per ongeluk reisgegevens van een ander hebben in gezien en wat daarmee gedaan is of nog wordt gedaan. Dat is wat je gewoon niet moet willen. Er zal toch wel iets van een security beleid zijn want als je het pand van tls wilt bezoeken is dat hermetisch beveiligd. Als ze diezelfde beveiligingsgraad nou voor de websites gebruiken.....
12-08-2014, 09:12 door Anoniem
Helaas verbaasd dit mij niks. In Juni dit jaar ook zelf een probleem ervaren.

Ik had geconstateerd dat mijn account, die sinds het begin van de website daar actief was, niet meer bestond. Er was geen enkel spoor meer van mijn account, of dat deze zou zijn verwijderd, laat staan dat deze uberhaupt heeft bestaan. Destijds was het gelukkig nog wel mogelijk om met een omweg mijn transactie gegevens te verkrijgen. Echter heb ik sindsdien geen nieuwe account meer gemaakt. Het plotseling kwijt raken van een account lijkt mij een indicatie van een brak en mogelijk zelfs lek systeem.

p.s. als ik de account overigens zelf had verwijderd (lees gehackt zou zijn), zouden zij dit in hun logfiles kunnen terugvinden (aldus de meerdere woordvoerders van TLS).
12-08-2014, 09:25 door User2048
TLS snapte de melding van de klanten niet en heeft het maar naast zich neer gelegd. Een betere reactie was geweest om contact op te nemen met die klanten en door te vragen. Na acht maanden ontdekken dat je al 15 klachten over dezelfde fout hebt gekregen is niet sterk. Dit wijst er niet op dat TLS aan incidentmanagement doet, of aan wat voor kwaliteits- of informatiebeveiligingsmanagement dan ook.
12-08-2014, 09:49 door Anoniem
Door privacy4all:
Door rufus-1.4.9.exe: Ik ga liever met mijn auto op stap. Lekker anoniem, even snel als de trein.
Rufus, anonem?
Wil je voor mij het aantal camera's tellen dat je onderweg tegenkomt. En dan niet alleen de flitsers (let speciaal eens op de belastingcamera (staat op het tegemoet komende verkeer in gericht)), de tracjectcontroles en andere camera's die op veel plekken je kenteken of inhoud van de wagen staan te controleren. Kom in mijn ochtend halfuur er al minimaal 30 stuks tegen!

En vergeet de 'test' kastjes niet die het passeren van gsm's registreren .
12-08-2014, 10:23 door Anoniem
Tja, en voor de reiziger is het opslaan van deze informatie allemaal *niet* nodig.
12-08-2014, 10:24 door Anoniem
"Ik ga liever met mijn auto op stap. Lekker anoniem, even snel als de trein."

Ik hoop toch niet dat je dit serieus meende, want daar is weinig anoniems aan.
12-08-2014, 11:23 door Anoniem
Zoals te lezen in eerdere artikelen;

In de tussentijd is er volgens TLS geen reden tot paniek omdat het lek niet reproduceerbaar blijkt. Het bedrijf heeft een 'ethische hacker' in dienst die het lek heeft proberen te misbruiken, maar die kreeg het niet voor elkaar. De website is dan ook nog steeds in de lucht.

http://www.nu.nl/tech/3848259/website-ov-chipkaart-bevat-lek.html

TSL kan het niet reproduceren, dus het is niet mogelijk..........

Dit lijkt op 'steek je kop in het zand politiek'
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.