45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Translink ziet inzien saldo met willekeurig ov-chipkaartnummer niet als probleem

Translink vindt niet dat er een probleem is als mensen via zijn online saldochecker het saldo van willekeurige ov-chipkaartnummers kunnen opvragen zonder authenticatie. Onderzoeker Loran Kloeze ontdekte dat dit mogelijk was via de ov-chipkaartsite. Translink antwoordt op vragen van Tweakers dat een saldo niet herleidbaar is naar een persoon en dat er daarom geen probleem is.

Tweakers deelde de bevindingen van beveiligingsonderzoeker Loran Kloeze met het bedrijf. Die schrijft in een blogpost dat het zonder authenticatie mogelijk is om het saldo van een ov-chipkaart via de onlinedienst op te vragen. Daar is naast het huidige saldo ook de laatste bijwerkdatum te zien. Kloeze stelt dat het redelijk eenvoudig is om een kaartnummer te achterhalen, omdat iedereen in het openbaar in- en uitcheckt. Hij suggereert het invoeren van een aanvullende authenticatiestap.

Kloeze schrijft bovendien dat het via de NS-site mogelijk is om via een ov-chipkaartnummer de bijbehorende geboortedatum te achterhalen. De NS heeft laten weten zijn bestelformulier dinsdagmiddag aan te passen zodat gebruikers zelf hun geboortedatum moeten invullen. Het bedrijf heeft daarnaast melding gemaakt bij de Autoriteit Persoonsgegevens.

Alles bij de bron; Tweakers