Het ontbreken van een versleutelde https-verbinding werd vorige week vrijdag ontdekt door onderzoeker Roel Schouwenberg van beveiligingsbedrijf Kaspersky Benelux, toen hij onderweg naar zijn werk inlogde op een hotspot. "Eerder was de verbinding wel versleuteld, maar toen ik nu inlogde, viel het me op dat het een onbeveiligde http-pagina was", zo verklaart Schouwenberg tegenover Webwereld.

Doordat de inlogpagina niet versleuteld is, zouden kwaadwillenden toegang kunnen krijgen tot de inloggegvens van NS Hotspot-gebruikers. KPN-woordvoerster Caroline Ubachs verwacht niet dat er misbruik gemaakt is van het beveiligingslek. "We hebben geen klachten ontvangen. Daarnaast zouden kwaadwillenden precies op het moment dat iemand inlogt, moeten proberen om de gegevens te ontfutselen. De kans daarop is klein."

Ubachs meldt dat de fout direct hersteld is, nadat Kaspersky er melding van gemaakt had. Schouwenberg zegt dat hij afgelopen dinsdag opnieuw probeerde in te loggen en toen constateerde dat de inlogpagina inmiddels beveiligd was.

"Op een of andere manier was onze dedicated site voor de NS tijdelijk niet versleuteld", licht Ubachs de fout toe. Volgens de woordvoerder is de inlogpagina van de hotspots op de stations drie maanden lang niet versleuteld geweest. "De fout is in april ontstaan en na de melding van Kaspersky dus onmiddellijk hersteld", aldus Ubachs. De zegsvrouw van KPN benadrukt dat het overige deel van de achthonderd hotspots wel altijd gebruik heeft gemaakt van een versleutelde inlogpagina.