image

Arriva lekt persoonsgegevens van 195.000 klanten via contactformulier

woensdag 27 september 2023, 13:15 door Redactie, 9 reacties
Laatst bijgewerkt: 27-09-2023, 15:03

Vervoersbedrijf Arriva heeft de gegevens van 195.000 klanten gelekt, zoals e-mailadressen, namen, telefoonnummers en geboortedatums. Het gaat om gegevens van klanten die via een contactformulier contact zochten met Arriva. "Op dinsdag 19 september 2023 heeft Arriva een datalek geconstateerd. Het gaat om een lek bij één specifiek formulier, namelijk het contactformulier op de website", aldus de vervoerder in een verklaring op de eigen website.

Arriva stelt dat een 'ethische hacker' via e-mail heeft laten weten dat de gegevens op de website waren te achterhalen. "Er waren verder geen eisen of dreigementen. De hacker was anoniem, we weten dus niet wat deze persoon met deze info heeft gedaan." De vervoerder zegt dat het alle getroffen klanten persoonlijk heeft ingelicht. Daarnaast is het contactformulier tijdelijk offline gehaald. Tevens is er nader onderzoek gedaan naar de omvang en aard van het datalek en de beveiliging hersteld.

Reacties (9)
27-09-2023, 14:14 door Anoniem
Waarom moet je al dat soort data opgeven, als je alleen contact wilt met Arriva?
Lijkt mij dat er om veel te veel gegevens wordt gevraagd.
27-09-2023, 14:44 door Anoniem
Arriva heeft een vraag-en-antwoordpagina met meer details over het datalek:

https://arriva.nl/vragen-contact/contact-met-arriva
27-09-2023, 15:09 door Anoniem
Door Anoniem: Waarom moet je al dat soort data opgeven, als je alleen contact wilt met Arriva?
Lijkt mij dat er om veel te veel gegevens wordt gevraagd.

Ook mijn gedachte. Ik mag toch hopen dat iedereen valse informatie heeft ingevuld. Vervuil die databases maar, het gaat ze namelijk geen moer aan. Vraagt een baliemedewerker dat ook in een winkel? "U heeft een vraag over een kledingstuk in de winkel? Tuurlijk mag dat. Wat is uw naam, geboortedatum, telefoonnummer, adres, naam van uw dochter en hypotheekverstrekker?"
27-09-2023, 15:49 door Anoniem
Belachelijk dat Arriva in een formulier om een geboortedatum vraagt! En het vragen om telefoonnummers moet ook verboden worden, heeft tegenwoordig het karakter van BSN en paspoortnummer. Naam en e-mail adres hoort genoeg te zijn. Digitale dumbo's zijn het
27-09-2023, 15:51 door Anoniem
Geboortedata is inderdaad vreemd. De overige gegevens kan ik me wel voorstellen anders moeilijk contact krijgen. Wel vragen hoe mensen willen dat er contact wordt opgenomen. Oja... opruimen kan ook geen kwaad :-).
27-09-2023, 16:27 door Anoniem
Als je digitaal contact op neemt, waarom moet er dan een geboortedatum en telefoon nummer en dergelijke opgenomen worden? Ik hoop de de AP ze een flinke douw geeft voor het ongeoorloofd verzamelen van persoonsgegevens.

Dit is ook mooi, hoe kan je het een ethische hacker zijn als de hacker anoniem blijft en het niet duidelijk is wat er met de info is gebeurd. Het is dus ook niet duidelijk hoeveel andere hackers de data gestolen hebben zonder het te melden.
Op hun site:

Het is een ethische hacker geweest. Deze persoon heeft zich via de e-mail bij ons gemeld dat deze gegevens kon achterhalen op onze website.
Er waren verder geen eisen of dreigementen. De hacker was anoniem, we weten dus niet wat deze persoon met deze info heeft gedaan.


Ze willen mensen ook bang maken dat het geen zin heeft om ze aansprakelijk te stellen :
op hun site:
Als je ons aansprakelijk wil stellen dat kan, alleen het is in de geschiedenis nog nooit voorgekomen dat vanuit een specifiek datalek iemand schade heeft ondervonden.
Je kunt je altijd melden bij de Autoriteit Persoonsgegevens over dit voorval. Zij zijn daarin de juiste partij om advies te geven.
27-09-2023, 20:34 door Anoniem
wie is de maker van deze site ?
custom cms gemaakt of ............open source , betaald ?
28-09-2023, 07:45 door Anoniem
Heeft Arriva dan een responsible disclosure meldpunt?
Ik kon hem niet vinden.

Ik probeer eigenlijk bij bedrijven die dat niet (heel duidelijk vindbaar) hebben niets meer via de site te doen, ze staan immers niet open voor meldingen en dan weet je vaak ook wel wat ze missen.

Als de spelregels ontbreken weet je ook niet wat iemand met de data doet na legitieme melding.
28-09-2023, 13:38 door Anoniem
Door Anoniem: wie is de maker van deze site ?
custom cms gemaakt of ............open source , betaald ?

Aan het Phishen naar soortgelijke organisaties die API beveiliging niet op orde hebben?
Hoe simpel is dat. Arriva gebruikt tooling x, verder zoeken naar andere sites....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.