Klantgegevens NS voor iedereen toegankelijk

02-10-2007 11:59 | Door Jolein de Rooij | Er zijn 5 reacties op dit artikel | Permalink

Wie het lidnummer en de achternaam van een NS-klant kent, kan op het klantendeel van de website van de NS eenvoudig toegang krijgen tot diens persoonlijke gegevens.

De klantgegevens van een NS-klant zijn in te zien door iedereen die het lidnummer en de achternaam van deze klant kent. Op de website is het namelijk mogelijk zich aan te melden voor een nieuw online NS-account, zonder dat wordt gecontroleerd of die al bestaat.

Kwaadwillenden hoeven alleen het lidnummer en de achternaam van een NS-klant te kennen om een nieuw NS-account aan te maken. Vervolgens kunnen ze zelf een nieuwe gebruikersnaam invoeren, een nieuw wachtwoord en een nieuw mailadres. Naar dit nieuwe mailadres wordt vervolgens een link gemaild waarop de nepklant kan klikken om zijn nieuwe account te activeren.

Het oude account blijft overigens nog steeds in gebruik, maar via deze methode kunnen ook anderen toegang krijgen tot klantgegevens. Ze kunnen vervolgens zien waar iemand woont, wat zijn telefoonnummer is en diensten aanvragen, zoals een OV-chipkaart, een nieuw abonnement of een verhuizing.

UPDATE (4-10-2007):
Volgens de site Security.nl heeft NS het probleem inmiddels verholpen.

Roel Janssen, 03-10-2007 7:37

Wie heeft er nu een zevencijferig nummer en een achternaam. Noem dat maar eenvoudig. En NS niet in staat te reageren? Zeker niet gebeld.

Jolein de Rooij, 03-10-2007 11:36

De achternaam en het lidnummer zijn beide vermeld op de NS- abonnementskaart. Wie zo'n kaart onder ogen krijgt, kan dus de klantgegevens van de kaarthouder inzien en wijzigen, zonder dat hij of zij daarvoor technische kennis nodig heeft. NS is wel degelijk gebeld, en gemaild, maar heeft tot op dit moment niet gereageerd.

Paul, 03-10-2007 12:29

Een klacht in de trant van : iemand die mijn telefoonummer heeft kan me zomaar bellen en thuis lastig vallen !

rob, 03-10-2007 13:56

Dit is niet het enige probleem met NS. Als je bij NS Internationaal een ticket koopt en met je creditkaart wilt betalen gaat dat over een niet beveiligde internet(http)-verbinding. En NS reageert niet op de klacht die ik daarover heb ingediend.

Mike de Laat, 03-10-2007 15:37

Nu maar hopen dat ik mijn jaartrajectkaart niet kwijt raak... Dit kan gewoon niet! Dit moet gemeld worden bij Centraal Bureau Persoonsgegevens. Het lijkt erop dat de NS niet voldoaat aan de Wet bescherming persoonsgegevens (Wbp). Ik eis dat dit z.s.m. opgelost wordt.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Klantgegevens NS voor iedereen toegankelijk

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

17-08-10 Breekijzer-website lekt persoonsgegevens

Best Practices om laptop-data te beschermen