Gedurende verschillende weken waren de persoonlijke gegevens van meer dan een miljoen klanten van de NMBS Europa vrij toegankelijk op het internet. De data waren bereikbaar met een simpele zoekopdracht via google. De officiële reactie van de NMBS is op zijn zachtst gezegd eigenaardig. Nergens geven ze toe dat er een fout gemaakt wordt en verontschuldigingen kunnen er niet vanaf. Het enige wat ze doen, is minimaliseren en schieten op de boodschapper.
Zaterdagmiddag 22 december 2012. Ene megatroll laat op het Belgisch ADSL forum weten dat hij via google een lijst met klanten van de NMBS Europa gevonden heeft. Een zoekopdracht van het type “site:www.b-europe.com filetype:txt” heeft een ellenlange lijst op met naam, functie, e-mailadres en in sommige gevallen ook geboortedatum, adres en telefoonnummer van treingebruikers opgeleverd. Het bestand is 181,6 MB groot en bevat de gegevens van exact 1.460.735 personen. Volgens de cache van google staan de gegevens al minstens sedert 3 december online, volgens de cache van andere zoekmachines is dat zelfs al vroeger.
In een reactie voor het nieuws van RTL-TVI probeert een woordvoerder van de NMBS de zaak te minimaliseren én de schuld te leggen bij de ontdekker van de gegevens. Die laatste wordt een hacker genoemd, wat nogal belachelijk is voor iemand die een zoekopdracht via google uitvoert. In het interview heeft de woordvoerder het ook maar over “enkele” en over “een paar duizend” gegevens. Wat dus flagrant gelogen is. De man getuigt ook van een heel beperkte kennis van zaken, wanneer hij een gegevensbank als privé bestempelt – als blijkt dat die zonder beveiliging of paswoord op een webserver geplaatst wordt. Blijkbaar is het feit dat een url niet gepubliceerd wordt, voor de nmbs al voldoende om een databank als “niet-openbaar” te bestempelen.
Wat de nmbs ook beweert, feit is dat de spoorwegmaatschappij op zijn minst onzorgvuldig is omgesprongen met de gegevens van haar klanten. Andre Loconte, woordvoerder van NURPA:
“In tegenstelling tot wat de woordvoerder van NMBS Europe beweert, heeft de surfer die de informatie onthulde geen gebruik gemaakt van een truc om het bestand te openen. Deze lijst van 1.460.734 klanten was vrij toegankelijk via een onschuldige zoekopdracht met een zoekmachine. NMBS Europe heeft de persoonlijke gegevens van zijn gebruikers op onverantwoordelijke wijze beheerd. Door geen actie te ondernemen om ervoor te zorgen dat deze gegevens niet toegankelijk zijn voor het publiek, heeft NMBS Europe gefaald in haar plicht om de persoonsgegevens van haar klanten te beschermen.”
Het zou al een goed begin zijn als de NMBS op zijn minst haar fout zou toegeven en openlijk excuses aanbood. Dat zou al iets beter zijn dan de zaak te minimaliseren en op de boodschapper te schieten. Maar het is vooral verontrustend om zien op welke incompetente en onverantwoorde manier er telkens weer omgesprongen wordt met persoonlijke gegevens. De gegevens van meer dan een miljoen klanten onbeveiligd op het internet zetten, kan je niet anders omschrijven dan als grove nalatigheid. Hopelijk trekt de NMBS toch één simpele conclusie uit deze hele affaire, namelijk dat dit soort bestanden met persoonlijke gegevens niet thuis hoort op een publieke webserver.
Headers van het gegevensbestand:
cust_id, CONTACT_STATE, ACTIVE, DISTRIBUTEUR, CUST_TYPE, GENDER, voornaam, achternaam, geboortedatum LOGON_ID, geregistreerd, CONTACT_LANGUAGE, CONTACT_LANGUAGE_XX, STRAAT, HOUSE_NR,
ADDITIONAL_NR, postal_code, stad, land, PRIVATE_FIXED_TELEPHONE, PRIVATE_MOBILE_TELEPHONE, BUSINESS_TELEPHONE, E-MAIL.
Over minimaliseren gesproken. In verschillende Vlaamse kranten gaat het als volgt: “Een document met daarin de gegevens van sommige klanten van de NMBS was zaterdag een tijdje beschikbaar op de website van de spoorwegmaatschappij.” Er is ook nog steeds sprake van een hacker en dat de bewuste gegevens met een normaal gebruik van de website niet toegankelijk waren. Quod non. Maar laat dit toch duidelijk zijn: datalekken los je niet op door ze in de doofpot te stoppen.
Aan de mensen op de lijst: doe jullie beklag aub bij de Ombudsman van de NMBS. Incompetentie van deze grootorde kan echt niet door de beugel.
http://www.b-rail.be/ombudsman/N/
Ombudsman is één. Verantwoordelijke voor verwerking van gegevens is twee: privacy@b-rail.be. Privacycommissie is drie: http://www.privacycommission.be/nl/node/245. Vraag op zijn minst of je zelf op de lijst staat, maak duidelijk dat je vindt dat dit absoluut niet door de beugel kan en vraag wat ze bij de nmbs van plan zijn met wat er gebeurd is.
[…] gaan nog even door op het datalek bij de nmbs-sncb. Nadat zowat alle Vlaamse kranten in eerste instantie braafjes het officiële verhaal van de […]
[…] en #sncbgate genoemd wordt. Het is duidelijk dat de NMBS mislukt is in haar pogingen om het datalek van anderhalf miljoen klantgegevens in de doofpot te stoppen. Minimaliseren kon al niet meer, toen duidelijk werd dat het bestand wel […]