NMBS heeft een groter probleem dan het denkt

descheemaeckerDe gegevens van 1,5 miljoen NMBS-klanten zijn gelekt. En dat is een veel groter probleem dan wij denken.

Dat dit zomaar kon gebeuren is al bedroevend. Maar de manier waarop de NMBS met deze situatie omgaat is nóg bedroevender.

De NMBS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen.

Ingenieur Frederic Jacobs kwam ook in bezit van de lijst en begon als reactie met de website SNCB Leak Check waarmee klanten van de NMBS kunnen controleren of ze getroffen zijn door het datalek. Een initiatief dat ik toejuich. Het kwaad is toch al geschied. Als de NMBS zelf geen moeite doet om de slachtoffers op de hoogte te brengen, dan moeten de klanten elkaar maar helpen. Na het invullen van je naam kun je 1) zien of je al dan niet getroffen bent en 2) welke gegevens er dan precies gelekt zijn (adres, telefoonnummer,…). Echt privacygevoelige info wordt niet getoond: je kunt nooit daadwerkelijk een adres of nummer zien. Ik sta alvast op de lijst.

De reactie van de NMBS op dat initiatief, onder meer op De Standaard Online, spreekt boekdelen.

“We nemen daar akte van, maar wijzen erop dat elke verspreiding van privégegevens illegaal is. We zijn nog volop bezig met het onderzoeken van onze juridische opties.”

Dat NMBS op een goedbedoeld burgerinitiatief onmiddellijk aanvallend en met zoveel bravoure reageert, tart werkelijk elke verbeelding. Een bedrijf dat dagelijks duizenden verkopen verricht, door zijn eigen onkunde ruim een anderhalf miljoen klantengegevens te grabbel gooit en dan nog met zo’n grote mond vol arrogantie durft dreigen met juridische stappen? Dat kan alleen een overheidsbedrijf zijn. Hilarisch ook dat het nog even bevestigt dat wat het zelf eerder gedaan heeft, volledig illegaal is.

Ook de internetgebruiker die de oorspronkelijke lijst op het internet plaatste werd meteen persoonlijk geviseerd door het juridisch team van de NMBS. Ook al was het niet zijn slimste zet (het was eigenlijk ronduit dom), de ontdekker van die lijst wou wel degelijk met goede bedoelingen het gebrek aan beveiliging aanklagen.

Zucht. Het verbaast mij dat NMBS nog geen juridische stappen tegen Google heeft genomen.

Het wordt hoog tijd dat de klanten van de NMBS zelf hun juridische opties onderzoeken. De NMBS is de enige schuldige in deze zaak en blijft zich om één of andere bizarre reden in een slachtofferrol wentelen. Vreemd dat er nog geen golf van verontwaardiging is uitgebroken onder het klantenbestand. Maar dat is ook niet zo verwonderlijk: de regering is met vakantie, de PR-machine van de NMBS was meester in het minimaliseren van de feiten en de pers bleef ook nog eens opvallend mild voor de NMBS (komáán, gasten…).

treinen

Dat die lijsten nu verkocht zullen worden aan spammers voor grof geld is de evidentie zelve. Als er al geld voor gevraagd wordt. De lijst zweeft hoe dan ook ergens rond op internet en is door iedereen vrij te downloaden. Aangezien een klant zijn treinbiljetten laat doorsturen naar een bestaand adres dat actief gebruikt wordt, kan de spammer ervan uitgaan dat het anderhalf miljoen adressen zijn geld waard zijn. No way dat NMBS die lijsten ooit nog volledig van het internet kan “halen”, hoe hard het zijn “juridische opties ook onderzoekt”.

NMBS, get your shit together. Jullie hebben dringend een les in nederigheid nodig. Verontschuldig je persoonlijk bij elke getroffen klant (zijn e-mailadres heb je toch al, LOL). Zeg hem dat jij gefaald hebt en dat hun persoonsgegevens door jouw schuld geruime tijd vrij toegankelijk waren en dat nog steeds zijn door een lijst die nu op internet verspreid wordt. Vertel ons hoe dit is kunnen gebeuren en wat je onderneemt om dergelijke feiten in de toekomst te voorkomen. Bied een compensatie aan. Het is werkelijk een schande dat de getroffen klanten nog niet eens persoonlijk op de hoogte zijn gebracht. Je zou denken dat ze daar recht op hebben.

Van een overheidsbedrijf zou je in 2013 volledige transparantie en eerlijkheid moeten kunnen verwachten. De NMBS liegt schaamteloos en doet aan systematische ontkenning en minimalisering van het grootste Belgische privacylek in jaren. Dat hoort zo hard niet. Het zou een fout signaal zijn als we hier te licht over gaan.

Wat kun jij doen?
Leg een klacht neer bij de Privacycommissie via het contactformulier. (Wie maakt een standaardklachtenbrief?) De commissie kan niet anders dan hier een zaak van maken en bikkelhard zijn in zijn oordeel. Ik hoop stiekem ook dat het tot een rechtszaak komt, al was het maar als precedent voor andere grote bedrijven.

Update: Frederic Jacobs heeft zijn Leak Checker offline gehaald omdat de Privacycommissie zijn initiatief niet ondersteunt. Dat maakt de nood dat NMBS zélf de getroffen klanten persoonlijk inlicht natuurlijk alleen maar groter.





21 reacties op 'NMBS heeft een groter probleem dan het denkt'

  1. Wout zegt:

    Is niet de eerste keer dat NMBS ‘kritische klanten’ de mond snoert. Enkele jaren geleden gingen ze ook (succes)vol in de juridische aanval tegen railtime history. Een site waar ‘de community’ de vertragingen van NMBS verzamelde, kon raadplegen en vergoedingsbrieven kon laten aanmaken.


  2. Steven zegt:

    De NMBS is natuurlijk een makkelijk doelwit. Het is een binnenlands bedrijf, dus vatbaar voor politiek-juridische druk. Het is verre van hip, het kan door de slechte dienstverlening op weinig publieke sympathie rekenen, het fingeert zijn statistieken (“te laat” betekent “te laat”, niet “meer dan 5 minuten te laat”, NMBS), en we komen allemaal wel eens in contact met NMBS-medewerkers die het stereotiepe beeld van overheidsbedrijven als val voor verdoken werkloosheid belichamen.

    Echter, het ergste wat nu kan gebeuren is dat je meer spam zal ontvangen – nou en? Iedereen met een e-mailadres dat meer dan enkele weken oud is ontvangt spam. Als spammers niet aan je adres komen via de NMBS krijgen ze het wel in handen via de malware op de PC van je IT-ongeletterde vrienden of familie.

    Extra schepje ironie: neem eens een kijkje op de FB-pagina van NMBS Europe. Vol flamers die NMBS-medewerkers allerlei persoonlijke verwensingen naar het hoofd slingeren. Ik herhaal: klagen over schending van je privacy VIA FB… en jezelf voor de hele wereld te kijk zetten als iemand die de meest elementaire omgangsvormen niet machtig is. We moeten ons veel meer zorgen maken over de geleidelijke erosie van onze privacy via pseudo-consensuele mechanismen zoals Facebook, Gmail, Google+, locatiediensten en dies meer. Maar dat zijn populaire, buitenlandse ergo moeilijke doelwitten, i.t.t. de NMBS.

    Frederic Jacobs dan, hij zal het wel goed bedoeld hebben, maar zijn siteje was zo illegaal als het maar kon zijn. In tegenstelling tot wat hij beweert maakt hij wel degelijk persoonlijke gegevens openbaar, nl. de namen van de getroffenen + het feit dat deze personen NMBS-klanten zijn. Zelfs het loutere bezit van het databestand is illegaal. Goede bedoelingen, ach, hoed je voor zelfverklaarde redders die denken dat de wet niet op hen van toepassingen is zolang het maar voor de goede zaak is.


    • Antonie zegt:

      Tamelijk dom antwoord van u Steven : alleen dankzij Frederic weet ik nu dat de NMBS mijn gegevens zo op straat heeft gegooid. Van de NMBS zelf hebben we nog steeds geen nieuws ontvangen. Tot voor kort kreeg ik helemaal geen spam op mijn werkemailadres, omdat ik het alleen aan betrouwbare bedrijven geef. Ik snap trouwens niet waarom de NMBS mijn adres bijhoudt, want iedere keer ik een treinbiljet bestel, dien ik mijn adres opnieuw volledig in te geven …


      • Steven zegt:

        Antonie,

        Vooreerst, volwassen mensen kunnen er tegenovergestelde meningen op na houden zonder te suggereren dat de ander tamelijk dom is.

        Was de website van Frederic absoluut noodzakelijk om te weten dat je persoonlijke gegevens gelekt werden? Ik denk dat je uit de omvang van het lek wel kon afleiden dat je gegevens gelekt waren indien je ze ooit aan de NMBS gegeven had. Ik zeg niet dat ik niet ergens sympathie heb voor Frederic Jacobs, maar, eeuwige vraag natuurlijk, wie bewaakt de bewakers? Dan toch liever de door de rechtstaat vastgelegde procedures dan het digitariaat.

        Je echt e-mailadres enkel aan “betrouwbare bedrijven” (alsof je een duidelijk onderscheid kan maken) geven is ook geen oplossing, zelfs de beste bedrijven falen in hun IT-beveiliging. De enige waterdichte oplossing is om niemand je echte e-mailadres te geven, verschillende aliassen aan te maken voor verschillende diensten en contacten, en bij te houden welke persoon of dienst welk adres heeft zodat je ze een nieuwe alias kan geven indien er een gecompromiteerd is. Voor de NMBS ging ik er van uit dat de IT-beveiliging even geweldig was als de stiptheid, dus heb m’n NMBS-alias enkel voor de NMBS gebruikt. Verwijderd en klaar is Kees. Zal wel nieuw alias aanmaken volgende keer dat ik online iets bestel.

        Dat de NMBS je adres bijhoudt is m.i. niet om de gebruikerservaring te verbeteren, maar eerder omdat het bedrijf het principe van data-minimalisatie niet toepast.


        • Antonie zegt:

          Ik vond jouw reactie dom, Steven. Over jouzelf heb ik me niet uitgesproken. / Dus, omdat ik (soms) al spam krijg, moet ik Belgacom deze achterlijke fout maar niet kwalijk nemen ? Over deze flater/blunder/stupiditeit van de NMBS kan men boeken schrijven, maar ik verwijt de NMBS vooral een gebrek aan ‘hygiëne’. Het is gewoon onvoorstelbaar dat dergelijke gegevens van anderhalf miljoen mensen zomaar bijgehouden worden in één enkel bestand. Het feit dat het bestand blootgesteld is geweest via het internet is niet het probleem, maar het feit dat al die gegevens op zo’n amateuristische wijze opgeslagen zijn. Een eerstejaars informatica kan zo drie manieren bedenken om dit te vermijden of overbodig te maken. Openbare vervoersmaatschappijen reken ik normaal bij de betrouwbare bedrijven, inderdaad. Van dergelijke bedrijven verwacht ik dat ze de privacy beter beschermen en risico’s op VOORHAND uitsluiten. De NMBS toont gewoon niet het minste respect voor haar klanten. De verantwoordelijke voor IT bij de NMBS moet niet ontslagen worden, de idioot zou zelf z’n conclusies moeten trekken. En we hebben ondertussen NOG STEEDS geen email met onvoorwaardelijke excuses van de NMBS ontvangen …


    • Piet zegt:

      @Steven. Kritisch zijn is ok, maar dan even correct graag. Dat men de media- en mediaberichten kritisch moet bekijken klopt dikwijls. Maar om dan tegen de “domme massa” zichzelf probeert te verheerlijken als verlichte is er een beetje over. Je nuanceert niet alleen, je ontkent. Dit gaat niet over wat meer spam om mijn email. Ze hebben 1) met mijn adres en de uren dat ik reis [te zien na een klacht over vertragingen] (gemakkelijker om eens inbreker te spelen) 2) met mijn rekeningnummer te veel info. Ik gaf geen toestemming en als je (terecht) vind dat Federik Jacobs onwettelijk bezig is. dan is de nmbs dat ook zeker. Heel simpel. Illegale verspreiding van persoonlijke gegevens. Een goede boete zou ze deugd doen. Dat pas zullen ze echt leren wat beschermen van privacy is. Want nu is de straf kleiner dan een degelijke bescherming.


      • Steven zegt:

        Piet, ik heb het genoegen gehad een tijdlang in het buitenland te wonen, en je kan je niet inbeelden hoe irritant het is dat de Vlaming zich bij elk meningsverschil een misplaatst underdog-imago wil aanmeten door zonder aanleiding de ander er van te beschuldigen “neer te kijken op de domme massa” of “zichzelf te verheerlijken als verlichte” en meer van die pseudo-populistische prietpraat. Dus stop daarmee of hou het voor de volgende N-VA landdag.

        De inhoud van eventuele communicatie met de NMBS is (voor zover bekend) niet gelekt, dus voor inbrekers moet je niet bang zijn.

        Wat gaat een cybercrimineel trouwens met je rekeningnummer doen? Er geld op storten? Het wordt pas gevaarlijk van zodra ze ook je gebruikersnummer, je PIN-code en je fysieke bankkaart hebben. In tegenstelling tot wat we doorgaans aannemen is je bankrekeningnummer an sich niet zo privacygevoelig. Het enige wat men er uit kan afleiden is bij welke bank je bent, en tenzij je bij een speciale nichebank genre de rijkeluizenbank Banca Monte Paschi Belgio bent zegt dat niet zo veel over jou. Of toch veel minder dan wat de doorsnee persoon “consensueel” vrij geeft via sociale netwerken.

        Dus, ja, dit datalek is een groot probleem en de NMBS is zwaar in de fout gegaan, maar het is niet het einde van de wereld. Mijn stelling is en blijft dat we al onze frustraties i.v.m. de schending/erosie van onze privacy botvieren op de NMBS omdat dat het enige bedrijf is waar we nog een beetje vat op hebben.


  3. Antonie zegt:

    Nog niks gehoord van onze vrienden bij de NMBS. NMBS is één van de weinige bedrijven die mijn echte email adres hebben, dus dit lek is inderdaad veel ernstiger dan ik zelf ook eerst dacht …


  4. Bert zegt:

    Standaardbrief circuleert al: http://ow.ly/d/YA8


  5. Antonie zegt:

    Om het nog eens kort te zeggen : deze fout (geen vergissing) van de NMBS is onvergeefbaar, omdat ze VERMIJDBAAR was door simpele technische ingrepen. Dankzij een paar amateur-prutsers bij de NMBS liggen mijn privé-adres en telefoonnummer op straat. En de top drie verdient samen meer dan 1,5 miljoen EUR per jaar : alledrie politiek benoemd …


  6. Patrick zegt:

    Eergisteren een trein genomen in Hongarije: betaalbare eerste klasse, proper, modern, stipt. Vanuit Belgisch perspectief precies een futuristische ervaring, ware het niet dat de Belgische “futur” in de tegenovergestelde richting evolueert.


  7. Lod zegt:

    Het initiatief van Frederic Jacobs was goedbedoeld maar niet bijster doordacht. Eenieder kon eender welke naam ingeven en nagaan of/welke gegevens beschikbaar waren.

    Het ware beter geweest mocht de terugkoppeling enkel gebeurd zijn naar het gekende emailadres.

    Wat betreft de NMBS Europe. Tot op vandaag krijgen klanten die hun wachtwoord wijzigen of vergeten zijn een e-mail met een leesbare versie van hun wachtwoord. Voor gevoelige klantengegevens is dit ongehoord.
    Het leert een ding: ICT-veiligheid staat niet echt bovenaan het lijstje op hun informatica-afdeling.
    Wat het datalek betreft blijft de vraag waarom het nodig is om een tekst-bestand te creeren van informatie die -naar ik hoop- in een degelijk beveiligde database opgeslagen zit. Op basis van mijn eigen gegevens is duidelijk dat het gaat over klantengegevens en niet over inschrijvingen op een nieuwsbrief (ik gebruik voor beide soorten communicatie verschillende e-mailadressen). Het maakt het allemaal een beetje erger.
    Mocht mijn mailbox eensklaps overspoeld worden met spam, weet ik in elk geval tot wie ik mij moet wenden.


  8. jeff zegt:

    Een paar weken geleden lagen de gegevens, bankrekeningnr inbegrepen van PV-bezitters ook publiekelijk te grabbel, sterker nog de gegevens konden zelfs geëdit worden, iemand nog iets van gehoord?


  9. Peter zegt:

    /../Wat gaat een cybercrimineel trouwens met je rekeningnummer doen./…/

    Met je naam en rekeningnummer kan je als crimineel wel degelijk iets aanvangen. Een oud voorbeeld hieronder:
    http://news.bbc.co.uk/2/hi/entertainment/7174760.stm


    • Sam Feys zegt:

      Idd, nogal onzinnige uitspraak. Als een cybercrimineel je rekeningnummer heeft – wat voor alle duidelijkheid hier niet het geval is – weet het ook meteen bij welke bank je klant bent en kan hij veel eenvoudiger herkenbare en gepersonaliseerde softwaretoepassingen met branding van die bank maken. Hoeveel slachtoffers zouden na een persoonlijke mail in een val lopen en valse inlogprocedures volgen waardoor criminelen geld van hun rekening kunnen halen?


      • Steven zegt:

        Het geval Jeremy Clarckson is een voorbeeld van machtigingsfraude dat typisch is voor het Verenigd Koninkrijk en zich niet voor kan doen in België.

        De phishing waar Sam het over heeft – ja en nee. De normaal zorgvuldige goede huisvader die de protagonist is van ons Belgisch burgerlijk recht reageert nooit op mails waarin hij om zijn logingegevens gevraagd wordt of wordt verzocht om websites met verdachte domeinnamen te bezoeken.

        Vergat ik natuurlijk wel even het dancing pigs problem ( https://en.wikipedia.org/wiki/Dancing_pigs ): de doorsnee internetgebruiker is een volslagen idioot die onbekwaam is om voor zijn IT-veiligheid in te staan. Maar dat is meer een probleem van social engineering dan van de inherente privacy-gevoeligheid van je bankrekeningnummer.


        • Steven zegt:

          En zoals Sam reeds zei het behoorde niet tot de gelekte gegevens dus het is niet eens aan de orde.


        • jeff zegt:

          In het geval van de Vreg met de PV-eigenaars kon je gewoon de rekeningnummers veranderen, dus het werd de criminelen super gemakkelijk gemaakt.


          • Steven zegt:

            Jeff, ik heb even moeten googelen wat je in je vorige comment met “PV” bedoelde, maar als je het over zonnepanelen en dies meer hebt, kan je dan even wat meer informatie geven want mijn ouders hebben er ook zou graag weten of er reden is om klacht in te dienen.


  10. Christoph zegt:

    Ach, excuses van de NMBS… Misschien kunt u eens bij de slachtoffers van Buizingen of hun families informeren over excuses van de NMBS.


  11. Raf zegt:

    Ik had een klachtenmail gestuurd naar de NMBS met de vriendelijke vraag naar wat meer uitleg & of ook mijn gegevens op het net werden gegooid. Gisteren een mailtje teruggekregen met de vraag naar mijn id-gegevens (“een kopie van dat deel van uw identiteitskaart waarop uw naam, voornaam en uw geboortedatum vermeld worden, volstaat”?). Dát klinkt me pas echt vreemd. Ik wil hen best zo’n fotootje van mijn id-kaart terugmailen. Maar wie zegt dat ik dat ben die die mail stuurt? Of ga ik nu te ver? :)


Reageren