OV-fiets lekt rekeningnummers

Redactie 30-03-2009 13:54

Abonnees van de OV-fiets hadden lange tijd toegang tot allerlei privacygevoelige informatie van andere gebruikers, waaronder bankrekeningnummers. De NS heeft het probleem inmiddels opgelost.

Het probleem kwam volgens Webwereld aan het licht toen beveiligingsexpert Mendel Mobach een e-mail ontving met de uitnodiging om de site van de OV-fiets te bezoeken. De link gaf direct de persoonlijke omgeving zonder eerst nog een toegangscontrole uit te voeren.

Eenmaal binnen zijn persoonlijke gegevens als naam, adres, woonplaats in combinatie met bankrekeningnummer zichtbaar. Ook pasnummers en pincodes om een fiets uit de diverse kluizen te halen zijn terug te lezen.

Omdat de e-mails gebruik maken van een volgnummer van klanten is het mogelijk alle accounts uit te lezen. Volgens Mobach is dat zelfs mogelijk door een geautomatiseerd script te maken. OV-fiets heeft ruim 50.000 abonnees.

Mobach ontdekte het probleem door het kenmerk in Google in te geven en vervolgens een volgnummer terug te krijgen. Die staan in zogenaamde Rainbow-tabellen, waarin alle mogelijke combinaties worden bijgehouden.

De Nederlandse Spoorwegen, die voor de fietsen verantwoordelijk is, reageerde vrijdagavond laat erg snel op het incident. Binnen een uur na melding werkte de aanval niet meer. De NS vermoedt dat er nog geen misbruik is gemaakt van de systeemfout, maar mocht er hierdoor toch klanten zijn gedupeerd, dan belooft de NS alle kosten te vergoeden.

Het versturen van inloglinks of -codes met oplopende nummers erin komt wel vaker voor. Eind 2008 lekte Lotto op vergelijkbare wijze de persoonsgegevens van 1 miljoen abonnees van de Veronica-gids.

OV-fiets lekt rekeningnummers (foto: DAG)