Fiets website van de NS lekt persoonsgegevens

De website ns-fietsen.nl, van de Nederlandse Spoorwegen, lektte tot voor kort de gegevens van haar klanten. In ieder geval de naam, het adres, de woonplaats en het bankrekeningnummer van de klanten waren zichtbaar. Ook pasnummers en pincodes om een fiets uit de diverse kluizen te halen zijn terug te lezen. OV-fiets heeft ruim 50.000 abonnees.

Volgens het artikel OV-site lekt privacygevoelige data op Webwereld, lekte de website ov-fiets.nl van de NS persoonsgegevens van klanten:

Eenmaal binnen zijn persoonlijke gegevens als naam, adres, woonplaats in combinatie met bankrekeningnummer zichtbaar. Ook pasnummers en pincodes om een fiets uit de diverse kluizen te halen zijn terug te lezen. […] OV-fiets heeft ruim 50.000 abonnees.

Toch is er wel enige vorm van beveiliging toegepast in het volgnummer door gebruik te maken van MD5-versleuteling. Hierdoor is het nummer niet direct af te lezen. Bij een massale aanval zal dus ieder getal moeten worden omgezet wat relatief eenvoudig te regelen is. […] Die staan in zogenaamde Rainbow-tabellen, waarin alle mogelijke combinaties worden bijgehouden.

De Nederlandse Spoorwegen, die voor de fietsen verantwoordelijk is, reageerde vrijdagavond laat erg snel op het incident. Binnen een uur na melding werkte de aanval niet meer.