OV-site lekt persoonlijke gegevens

AMSTERDAM - Een bestelsite voor persoonlijke OV-chipkaarten blijkt lek. Hackers hadden langdurig toegang tot informatie van 168.000 reizigers. De SP wil de minister ter verantwoording roepen.

© ANP

Het gaat om een website met promotiecampagnes van de provincies Gelderland, Flevoland en Overijssel om mensen in het openbaar vervoer te krijgen.

Op Ervaarhetov.nl kunnen mensen zich inschrijven om kortingsbonnen, een persoonlijke OV-chipkaart of een speciaal reisproduct voor hun OV-chipkaart te bestellen.

Database

Door een fout in de website wordt er bij foute invoer teveel informatie terug gegeven. Daardoor is het mogelijk rechtstreeks met de database te communiceren. Zo kan er niet alleen de informatie doorzocht worden, maar is het ook mogelijk gegevens te verwijderen, toe te voegen of te veranderen. Deze zogeheten SQL-insertion aanval valt relatief eenvoudig te misbruiken en is eigenlijk een basale fout voor het maken van een site.

In de database staan op verschillende plaatsen persoonlijke gegevens van mensen, die bijvoorbeeld een op naam gestelde OV-chipkaart hebben aangevraagd. In totaal gaat dat om ruim 168.000 mensen, waarvan in ieder geval naam, adres, geboortedatum, e-mailadres en telefoonnummer zijn op te vragen. Ook zijn er databasevelden voor het opslaan van nummers van legitimatiebewijzen en duiden sommige tabellen op een akkoord voor betaling.

Anoniem

Het lek is ontdekt door hacker ins3ct3d. Hij wil anoniem blijven, maar heeft Webwereld bewijs geleverd met een video. Daarin is te zien hoe de persoonlijke gegevens van uw verslaggever, die vorig jaar een persoonlijke OV-chipkaart heeft besteld, uit de database worden gelepeld. Opvallend is dat na verwerking de informatie ook niet uit de database verwijderd blijkt. Op uitdrukkelijk verzoek van Webwereld heeft de hacker geen verdere gegevens opgehaald.

"Zo lang de overheid de burger onveilige systemen blijft opdringen voel ik me gedwongen voor de veiligheid van mijn medeburgers te beschermen en te waarschuwen”, verklaart ins3ct3d zijn beweegredenen voor deze hack.

Simpel

Hij stelt dat beveiliging een ondergeschoven kindje blijft. Het is voor hem onbegrijpelijk dat het met zoiets simpels misgaat. “Zou de overheid zijn taak enigszins uitvoeren dan hoef ik deze enorme risico's niet te nemen. Deze keer zijn het gevoelige persoonsgegevens, volgende keer vingerafdrukken of je EPD."

De SP zegt verbijsterd te zijn over "alweer een schandaal rondom de OV-Chipkaart" en wil tijdens het vragenuurtje verkeersminister Camiel Eurlings naar de kamer roepen. "Dit is het zoveelste incident waarbij de reiziger de dupe is van de slechte organisatie achter de OV-Chipkaart.

En vanaf 3 juni wil de minister (net als in Rotterdam) in de hele vervoersregio Amsterdam deze slechte en onveilige kaart gaan verplichten. Dat is onverantwoordelijk en gewoonweg dom", briest SP-Kamerlid Manja Smits tegenover Webwereld. De SP zal deze week nog een motie indienen om dit tegen te houden.

Provincie

De provincie Gelderland is gistermiddag door Webwereld van de problemen op de hoogte gebracht en heeft besloten de website uit de lucht te halen tot de problemen zijn verholpen. “Eerder komt de site niet terug”, verzekert een woordvoerder. “We zijn blij dat jullie een nacht wachten met het naar buiten brengen.”

Ook Govcert is door Webwereld op de hoogte gebracht, waardoor de provincie geholpen kan worden met het dichten van de gaten in de OV-chipkaartsite.

De Wet bescherming persoonsgegevens vereist dat er bij het verwerken van persoonlijke gegevens “afdoende” beveiligingsmaatregelen zijn getroffen. Eerder deze maand was er ook al twijfel over deze reissite, omdat die lokt met promotie-acties die mogelijk strijdig zijn met privacywetgeving.