NS dicht beveiligingslek in website
De NS heeft een beveiligingslek op haar website gedicht waardoor een aanvaller toegang tot klantgegevens kon krijgen. Op het klantendeel van de NS site was het voor mensen die nog geen NS account hadden mogelijk om zich met behulp van hun NS klantnummer aan te melden. In het aanmeldproces werd om het klantnummer gevraagd, de te gebruiken inlognaam, wachtwoord en het e-mailadres. Naar dat e-mailadres werd vervolgens een bevestigingse-mail gestuurd, waarna kon worden ingelogd.
Het aanmeldproces controleerde niet of het desbetreffende klantnummer al een inlognaam had. Ook werd niet gecontroleerd of van het desbetreffende klantnummer al een e-mailadres bekend was en zo ja, of dat overeenkwam met het nieuw ingegeven e-mailadres. Wat het aanmeldproces wel deed, was het nieuw aangemaakte account op de achtergrond koppelen met het dossier van het desbetreffende klantnummer.
Een aanvaller zou met kennis van iemands klantnummer, zijn of haar account kunnen "stelen" en vervolgens al diens persoonlijke gegevens bekijken en aanpassen. Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer. Ook was het mogelijk op naam van die persoon producten, zoals bepaalde abonnementen, te bestellen.
In een reactie tegenover Security.NL laat de NS weten dat het niet meer mogelijk is om zich alleen via het klantnummer aan te melden. De manier was bedoeld om mensen eenvoudig een account te laten maken, "als service naar de klant toe", zegt woordvoerder Rob Hageman. Er zouden ook nog geen gevallen van misbruik bekend zijn. Als de OV-chipkaart straks wordt ingevoerd zal de NS de beveiliging van het systeem verder omhoog schroeven.
De hele zaak kwam aan het rollen toen een NS-klant een pasfoto formulier van de NS ontving. Daarmee moest hij, als voordeelurenkaarthouder (VDU), zijn pasfoto insturen. De VDU is door de NS gekoppeld aan een OV-chipkaart, waardoor het voor abonnementhouders niet mogelijk is om anoniem te reizen met de trein. Hageman laat weten dat het reisverkeer en de persoonsgegevens gescheiden worden bewaard, en alleen gekoppeld worden in bepaalde gevallen, bijvoorbeeld als de klant in het geval van vertragingen geld terugkrijgt. Reizigers die gesteld zijn op hun privacy moeten straks dan ook diep in de buidel tasten, omdat korting er niet meer in zit.
Update: typo gefixt
Denk bijvoorbeeld aan waar iemand woont en zijn of haar telefoonnummer.
Zozo... telefoonboek dan niet wat makkelijker?
[url=https://klanten.ns.nl/psp/ps/CUSTOMER/CRM/c/NS_REGISTRATIE.NS_MIJNNS_AANMELD.GBL
]deze pagina is te volgen[/url] hoe de NS de
aanmeldprocedure aan het wijzigen is.
maar uiteraard nooit meer iets van gehoord. Wakkere jongens
daar.
Ze hebben ook weinig affiniteit met privacy, daar hebben ze
onlangs de mooie Big Brother Award voor gekregen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.