Nieuws

Arriva lekt persoonsgegevens van 195.000 klanten via contactformulier

woensdag 27 september 2023, 13:15 door Redactie, 9 reacties

Laatst bijgewerkt: 27-09-2023, 15:03

Vervoersbedrijf Arriva heeft de gegevens van 195.000 klanten gelekt, zoals e-mailadressen, namen, telefoonnummers en geboortedatums. Het gaat om gegevens van klanten die via een contactformulier contact zochten met Arriva. "Op dinsdag 19 september 2023 heeft Arriva een datalek geconstateerd. Het gaat om een lek bij één specifiek formulier, namelijk het contactformulier op de website", aldus de vervoerder in een verklaring op de eigen website.

Arriva stelt dat een 'ethische hacker' via e-mail heeft laten weten dat de gegevens op de website waren te achterhalen. "Er waren verder geen eisen of dreigementen. De hacker was anoniem, we weten dus niet wat deze persoon met deze info heeft gedaan." De vervoerder zegt dat het alle getroffen klanten persoonlijk heeft ingelicht. Daarnaast is het contactformulier tijdelijk offline gehaald. Tevens is er nader onderzoek gedaan naar de omvang en aard van het datalek en de beveiliging hersteld.

Zeeuwse gemeente stemt voor dna-database om hondenpoep tegen te gaan

LibreOffice roept gebruikers op om update voor kritiek WebP-lek te installeren

Reacties (9)

27-09-2023, 14:14 door Anoniem

Waarom moet je al dat soort data opgeven, als je alleen contact wilt met Arriva?
Lijkt mij dat er om veel te veel gegevens wordt gevraagd.

27-09-2023, 14:44 door Anoniem

Arriva heeft een vraag-en-antwoordpagina met meer details over het datalek:

https://arriva.nl/vragen-contact/contact-met-arriva

27-09-2023, 15:09 door Anoniem

Door Anoniem: Waarom moet je al dat soort data opgeven, als je alleen contact wilt met Arriva?
Lijkt mij dat er om veel te veel gegevens wordt gevraagd.

Ook mijn gedachte. Ik mag toch hopen dat iedereen valse informatie heeft ingevuld. Vervuil die databases maar, het gaat ze namelijk geen moer aan. Vraagt een baliemedewerker dat ook in een winkel? "U heeft een vraag over een kledingstuk in de winkel? Tuurlijk mag dat. Wat is uw naam, geboortedatum, telefoonnummer, adres, naam van uw dochter en hypotheekverstrekker?"

27-09-2023, 15:49 door Anoniem

Belachelijk dat Arriva in een formulier om een geboortedatum vraagt! En het vragen om telefoonnummers moet ook verboden worden, heeft tegenwoordig het karakter van BSN en paspoortnummer. Naam en e-mail adres hoort genoeg te zijn. Digitale dumbo's zijn het

27-09-2023, 15:51 door Anoniem

Geboortedata is inderdaad vreemd. De overige gegevens kan ik me wel voorstellen anders moeilijk contact krijgen. Wel vragen hoe mensen willen dat er contact wordt opgenomen. Oja... opruimen kan ook geen kwaad :-).

27-09-2023, 16:27 door Anoniem

Als je digitaal contact op neemt, waarom moet er dan een geboortedatum en telefoon nummer en dergelijke opgenomen worden? Ik hoop de de AP ze een flinke douw geeft voor het ongeoorloofd verzamelen van persoonsgegevens.

Dit is ook mooi, hoe kan je het een ethische hacker zijn als de hacker anoniem blijft en het niet duidelijk is wat er met de info is gebeurd. Het is dus ook niet duidelijk hoeveel andere hackers de data gestolen hebben zonder het te melden.
Op hun site:

Het is een ethische hacker geweest. Deze persoon heeft zich via de e-mail bij ons gemeld dat deze gegevens kon achterhalen op onze website.
Er waren verder geen eisen of dreigementen. De hacker was anoniem, we weten dus niet wat deze persoon met deze info heeft gedaan.

Ze willen mensen ook bang maken dat het geen zin heeft om ze aansprakelijk te stellen :
op hun site:

Als je ons aansprakelijk wil stellen dat kan, alleen het is in de geschiedenis nog nooit voorgekomen dat vanuit een specifiek datalek iemand schade heeft ondervonden.
Je kunt je altijd melden bij de Autoriteit Persoonsgegevens over dit voorval. Zij zijn daarin de juiste partij om advies te geven.

27-09-2023, 20:34 door Anoniem

wie is de maker van deze site ?
custom cms gemaakt of ............open source , betaald ?

28-09-2023, 07:45 door Anoniem

Heeft Arriva dan een responsible disclosure meldpunt?
Ik kon hem niet vinden.

Ik probeer eigenlijk bij bedrijven die dat niet (heel duidelijk vindbaar) hebben niets meer via de site te doen, ze staan immers niet open voor meldingen en dan weet je vaak ook wel wat ze missen.

Als de spelregels ontbreken weet je ook niet wat iemand met de data doet na legitieme melding.

28-09-2023, 13:38 door Anoniem

Door Anoniem: wie is de maker van deze site ?
custom cms gemaakt of ............open source , betaald ?

Aan het Phishen naar soortgelijke organisaties die API beveiliging niet op orde hebben?
Hoe simpel is dat. Arriva gebruikt tooling x, verder zoeken naar andere sites....

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer