Gegevenslek bij SBB: gegevensrecords van Swisspass-houders waren openbaar toegankelijk
Begin dit jaar werd een datalek ontdekt op het openbaar vervoersplatform "NOVA". Met een eenvoudige truc slaagde een IT-expert erin om meer dan 500.000 gegevensrecords van SBB-klanten te downloaden.
De SBB heeft maandag geïnformeerd over een hack. Het incident vond plaats aan het begin van het jaar. In een persbericht schrijft het dat het "datalek" onmiddellijk is verholpen. Volgens onderzoek van de "Rundschau" van de Zwitserse Radio en Televisie (SRF) werden een half miljoen reizigers van het hele Swisspass-netwerk getroffen.
Die sensiblen Daten lagen praktisch öffentlich im Netz.
Volgens het rapport gebruikte een IT-beveiligingsexpert een eenvoudige truc om een grote hoeveelheid persoonlijke gegevens van klanten bij SBB te downloaden. "Je hebt niet eens speciale deskundigheid nodig. Iedereen had het kunnen doen," zei hij tegen het SRF-programma "Rundschau". "De gevoelige gegevens waren praktisch openbaar op het net."
Zeker is het de IT-beveiligingsexpert gelukt de namen van de reizigers, de geboortedatum, het aantal gekochte tickets en de plaats van vertrek en bestemming te achterhalen. Theoretisch zou dit gebruikt kunnen worden om een bewegingsprofiel van alle getroffen klanten te maken, legde de expert verder uit.
Het datalek treft het hele Swisspass-netwerk en dus vrijwel alle openbaarvervoerbedrijven en alle klanten met een Halftariefkaart of Algemeen Abonnement.
SBB heeft veiligheidskloof gedicht
De Swisspass Alliance en SBB hebben de kwetsbaarheid erkend. Het was een fout in het systeem voor abonnementsvernieuwingen, schreef SBB in een persbericht. Ze verontschuldigen zich bij de klanten van het openbaar vervoer. De klanten werden echter niet benadeeld. SBB heeft onmiddellijk de Bundesdatenschutz- und Informationskommission en de betrokken openbaar vervoerbedrijven op de hoogte gesteld. Bovendien is er een intern onderzoek ingesteld.
De IT-beveiligingsdeskundige is ingelicht.
De IT-beveiligingsexpert pleegde de gegevensdiefstal tijdens de feestdagen. Vervolgens stelde hij de SBB in een gedetailleerd verslag op de hoogte van het incident. "Ik ben geen crimineel. Ik wil het bewustzijn van gegevensbescherming vergroten," zei hij, terwijl hij de hack uitlegde. Hij anonimiseerde onmiddellijk alle persoonlijke gegevens. Hij benadrukte ook dat geen enkele klant van de SBB hierdoor schade heeft geleden. "De Bundesbahn reageerde zeer snel en dichtte het gat op zeer professionele wijze.
Journalist met meer dan 20 jaar ervaring, voornamelijk in de online journalistiek in verschillende functies. Mijn belangrijkste werkinstrument? Een laptop bij voorkeur met een internetverbinding. Ik ben zo dol op deze apparaten dat ik soms de neiging heb om laptops en pc's uit elkaar te halen, te repareren en op te knappen. Waarom doe ik dit? Omdat het leuk is!