OV-site lekt privacygevoelige data

Het probleem kwam aan het licht toen beveiligingsexpert Mendel Mobach een e-mail ontvang met de uitnodiging om de site van de OV-fiets te bezoeken. De link gaf direct de persoonlijke omgeving zonder eerst nog een toegangscontrole uit te voeren.

Gegevens van andere abonnees

Eenmaal binnen zijn persoonlijke gegevens als naam, adres, woonplaats in combinatie met bankrekeningnummer zichtbaar. Ook pasnummers en pincodes om een fiets uit de diverse kluizen te halen zijn terug te lezen.

Omdat de e-mails gebruik maken van een volgnummer van klanten is het mogelijk alle accounts uit te lezen. Volgens Mobach is dat zelfs mogelijk door een geautomatiseerd script te maken. OV-fiets heeft ruim 50.000 abonnees.

Extra stappen

Toch is er wel enige vorm van beveiliging toegepast in het volgnummer door gebruik te maken van MD5-versleuteling. Hierdoor is het nummer niet direct af te lezen. Bij een massale aanval zal dus ieder getal moeten worden omgezet wat relatief eenvoudig te regelen is.

Mobach ontdekte het probleem door het kenmerk in Google in te geven en vervolgens een volgnummer terug te krijgen. Die staan in zogenaamde Rainbow-tabellen, waarin alle mogelijke combinaties worden bijgehouden.

Snel verholpen

De Nederlandse Spoorwegen, die voor de fietsen verantwoordelijk is, reageerde vrijdagavond laat erg snel op het incident. Binnen een uur na melding werkte de aanval niet meer. Ook is overleg gevoerd tussen Mobach, Webwereld en de beheerder van de site om de gevolgen te beperken.

"Dit had natuurlijk niet mogen gebeuren", vertelt voorlichter Ronald Stevens in een reactie tegenover Webwereld. Hij erkent erg geschrokken te zijn van het incident. "Ik ben blij dat het zo aan het licht is gekomen en we actief geholpen zijn bij het verhelpen van het probleem."

Stevens wil benadrukken dat er geen aanleiding is om te geloven dat van het probleem misbruik is gemaakt, maar mochten er toch fietsen gehuurd zijn op basis van misbruik dan belooft de NS alle kosten te vergoeden.

Kansloos

Ook Mobach is tevreden over de aanpak van de NS. Wel had hij problemen het bedrijf op vrijdagavond te bereiken. "Slecht dat men op de website zelf geen goede contractmogelijkheden heeft om dit soort problemen te melden, maar via andere wegen was men toch nog goed te benaderen en was het probleem binnen een uur opgelost was erg snel, zeker buiten kantoortijden", stelt hij dan ook tegenover Webwereld. Daarmee wil hij het probleem niet bagatelliseren: "Uiteindelijk is het wel kansloos dat het zo simpel kon."

Nieuwe website

De NS wil de website vernieuwen en zal daarbij extra waakzaam zijn op lekken. Daarbij bezweert de voorlichter contact te zullen houden met betrokkenen om herhaling van dit soort incidenten te voorkomen. "Het moet de toets der kritiek kunnen doorstaan."

Het versturen van inloglinks of -codes met oplopende nummers erin komt wel vaker voor. Eind vorig jaar lekte Lotto op vergelijkbare wijze de persoonsgegevens van 1 miljoen abonnees van de Veronica-gids.