Duh, natuurlijk is iemands OV-saldo in kunnen zien een datalek

| AE 10101 | Privacy | 52 reacties

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart, las ik op de blog van Loran Kloeze. De saldochecker van Trans Link Systems blijkt te werken zonder ingelogd te zijn, enkel door invullen van een kaartnummer krijg je het huidige saldo op die kaart te zien. De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

De saldochecker is een simpel en op zich handig tooltje waarmee je je saldo kunt checken. Bij een anonieme kaart kan ik me voorstellen dat je dit als feature aanbiedt, maar bij een persoonsgebonden kaart klopt het volgens mij niet dat er buiten het account om persoonlijke informatie te achterhalen is.

En ja, het saldo op je persoonsgebonden kaart is een persoonsgegeven. Die kaart staat op naam en dus zijn alle gegevens die met de kaart samenhangen persoonsgegevens, geen twijfel over mogelijk. Dat het niet triviaal is om naam en adres van de kaarthouder te achterhalen, doet daarbij niet ter zake. Die link is er, dus zijn het persoonsgegevens.

Helemaal als je de update van Kloeze leest: ook je geboortedatum is te achterhalen zonder inlog, wanneer je via de webshop van de NS iets koopt, geeft TLS je geboortedatum door enkel op basis van een OV-chipkaartnummer.

TLS zegt hierover:

Goed gezien, geen authenticatie. Saldo inzichtelijk, dit is een grote wens van vele reizigers. Wekelijks meer dan 30.000 raadplegingen. Probeer het uit! ^MdeG

Ik denk niet dat ze bedoelen dat het een grote wens van veel reizigers is om elkaars saldo in te zien. Maar het is en blijft een datalek, je bent eenvoudigweg niet bevoegd om andermans saldo in te zien dus daar moet een authenticatiestap tussen.

Arnoud

Deel dit artikel

  1. Hiermee lekt niet alleen saldo-informatie, maar ook indirect reisgedrag. Als ik iemands saldo elke minuut geautomatiseerd uitlees kan ik de reismomenten reconstrueren. Op basis van saldoverschillen kan ik mogelijk ook reistrajecten achterhalen op basis van de kostprijs van een traject.

    • Volledig mee eens. Al beperkt het zich dan wel grotendeels tot de trein, want met de bus kunnen dus kosten erg variabel zijn (afhankelijk van de route en of er een omleiding geldt of dat de bus noodgedwongen onverwachts via een andere straat moet rijden, bijv. als een andere straat ineens geblokkeerd is door een vrachtwagen, etc.). Alleen op plekken met vrije busbanen zijn de bus-reiskosten altijd hetzelfde.

        • Nee, je betaalt de gereisde kilometers. Als je bus dus afwijkt van de route (om wat voor reden dan ook), dan kan je een ander bedrag betalen. Is de omleiding korter, dan betaal je minder. Is de omleiding echter langer, dan betaal je meer.

          Zie ook: https://connexxion.nl/reiskosten/1250 “Je betaalt: de gereisde kilometers x bedrag per kilometer + basistarief (€ 0,90 in 2018)”

          Er zijn hier in Hilversum regelmatig (onverwachte) omleidingen, dus ik heb het al vaak genoeg meegemaakt dat ik een ander bedrag betaalde omdat er dus wordt uitgegaan van het aantal kilometers. (De enige, min-of-meer, uitzondering is lijn M1 in Almere. Het rondje door Almere-Haven is aan de ene kant langer, maar allGo/Keolis heeft de kilometerprijs vastgezet op het andere, kortste rondje voor die specifieke lijn zodat je in beide richtingen hetzelfde bedrag betaalt.)

          • Interressant.

            Het komt er dus op neer dat de klant betaalt voor het bedrijfsrisico van de vervoersmaatschappij. Ook weet je dan dus nooit vooraf wat je voor een rit gaat betalen. Heb je echter een abonnement dan bepaal je wel een vooraf vastgesteld tarief wat is gebaseerd op de route afstand tussen vertrek- en eindhalte. Gereduceerd omdat je een ‘grootverbruiker’ bent en vooruit betaalt, maar niet variabel.

            Zowel met de strippenkaart als daarvoor met losse kaartjes betaalde je altijd een vast tarief, soms teveel, soms te weinig voor het gereden aantal kilometers omdat het zone systeem wat destijds in gebruik was niet altijd precies goed uitkwam, maar je kwam als klant nooit voor verrassingen te staan.

            We kennen de exacte afstand tussen twee haltes en zouden daarmee precies kunnen berekenen wat de ritprijs zou moeten zijn. De vervoerder weet echter ook de exacte afstand die is afgelegd, en er is dus blijkbaar besloten dat die moet worden gebruikt voor de vaststelling van het uiteindelijke tarief. Als mijn vaste halte onbereikbaar is en ik elders moet uitstappen (voorbij mijn halte uiteraard, want dat levert meer op dan vóór de halte) dan moet ik dus meer betalen voor mijn rit en geniet ik ook nog het privilege om verder te mogen lopen naar mijn bestemming.

            Tandartsen, notarissen en ook de advocatuur volgens mij hanteerden vroeger een soortgelijk tarief systeem wat is afgeschaft vanwege het feit dat de manier waarop het uiteindelijke tarief tot stand kwam onduidelijk was. Als klant kon ik niet controleren of er juiste gefactureerd was. Bij bussen lijkt dit echter normaal te zijn, wat ik vreemd vind want ik kan onmogelijk controleren of de juiste afstand berekend is. Ook geeft dit mogelijkheid tot manipulatie duur de vervoerder. Omrijden omdat het te druk is, een grotere afstand afleggen omdat die route sneller is en er dan niet een extra bus hoeft worden ingezet om vertragingen op te vangen. En dan de klant laten betalen voor de extra afgelegde kilometers…

            Ik weet niet precies wat ik daarvan moet denken, maar het rommelt wel een beetje in mijn onderbuik.

            • Zo betaal je ook extra voor de “service” van een langzamere bus die een langere route via de buitendorpen volgt dan de snelbus die rechtstreeks tussen grote plaatsen rijdt. Voorbeeld uit mijn eigen praktijk: Heerenveen-Drachten. Als je de snelbus neemt, doet die er 20 minuten over en betaal je €5. Als je in Heerenveen pech hebt met de overstap van de trein naar de bus heb je de langzame bus via de buitendorpen en doe je er 45 minuten over en betaal je €5,37. Zo word je dubbel gepakt: in geld en in tijd.

  2. Ik weet niet meer waar, mogelijk Reddit, maar iemand reageerde dat “we” nogal hypocriet zijn. Aan de ene kant klagen dat deze data publiek is. Maar aan de andere kant technieken als blockchain de hemel in prijzen. Terwijl de blockchain implementatie gebaseerd is op een open kasboek waar je alle rekeningen kunt volgen.

    Een tegenreactie gaf aan dat de privacy-verwachting bij blockchain simpelweg anders is (als je er een beetje in verdiept hebt) en dat het daarom wel ok is. Maar is dat wel zo?

    • De mensen die klagen over de OV chipkaart hoeven niet de zelfde mensen te zijn als de mensen die via een blockchain betalingen doen. Dat de één ergens geen bezwaar tegen heeft betekent niet dat het ongegrond is als een ander die bezwaren wel heeft. Hypocrisie moet je op individueel niveau beoordelen, niet op collectief niveau.

      Qua privacy denk ik dat het bij cryptocurrencies nog wel wat beter is geregeld dan bij de anonieme OV chipkaart. Het is een goede gewoonte om bij cryptocurrencies elke betaling met een nieuw adres te doen, zodat betalingen niet zomaar aan elkaar gekoppeld kunnen worden. Voor elke reis een nieuwe OV chipkaart aanschaffen is minder praktisch, of het moeten de wegwerpkaartjes zijn die je voor treinreizen kunt kopen. Daarnaast bestaan er bij cryptocurrencies “mixing services”; dit wordt vaak verward met “witwassen”, maar als het niet om crimineel geld gaat is het alleen maar privacybescherming. Er zijn ook cryptocurrencies zoals Monero waarin verschillende transacties überhaupt niet aan elkaar gekoppeld kunnen worden (de mixing is “ingebouwd”). Tot slot denk ik dat toekomstige lagen bovenop de block chain (zoals het Lightning netwerk) privacy kunnen toevoegen, doordat de meeste transacties helemaal niet meer in een publieke database terecht komen.

  3. Dit is niet alleen een datalek, dit bewijst ook dat ze gegevens over je reisgedrag registreren en (in ieder geval gedeeltelijk) centraal opslaan. Dit is een verwerking van persoonsgegevens waar geen goede grond voor bestaat, want dat wordt ook al decentraal, op de kaart zelf gedaan. Oh nee, wacht, die kaart kon gehackt worden, dus die kunnen ze niet meer vertrouwen. Zo leidt het ene probleem tot het andere. Misschien had de OV chipkaart in de huidige vorm nooit geïntroduceerd moeten worden.

    Het hele drama van de OV chipkaart was voor mij de aanleiding om eens op zoek te gaan of het niet beter kan qua elektronische betaalmiddelen. Een betaalmiddel moet natuurlijk veilig zijn (niet te hacken), maar ook anoniem (geen persoonsgegevens lekken). Om vertrouwen te wekken dat het werkelijk deze eigenschappen heeft moet het daarnaast ook open source zijn. Bij voorkeur moet het daarnaast ook decentraal zijn, zodat een centrale autoriteit niet op een later moment deze goede eigenschappen kan afschaffen. Dit is een behoorlijk uitdagende combinatie van eisen; uiteindelijk kwam ik er op uit dat een cryptocurrency zoals Bitcoin een noodzakelijke component van een dergelijk systeem moet zijn. Dit is met name omdat dit op het gebied van elektronische betalingen de enige decentrale manier is om te beschermen tegen het double spending probleem (hoe voorkom je dat mensen meer geld uitgeven dan ze ontvangen hebben).

    • Dat is ook mijn bezwaar. Ik ben zelf eigenwijs genoeg om mijn OV chipkaart met muntgeld op te waarderen, ook al is het onhandig, omdat de NS-automaten nog geen briefgeld accepteren. Bij loketten kan je wel met briefgeld betalen, maar die heb je lang niet overal meer.

      Ik hoop natuurlijk dat ik niet de enige ben die zijn OV chipkaart met muntgeld oplaadt: je kunt moeilijk in je eentje anoniem zijn. Anonimiteit is toch een soort “kudde-veiligheid”.

      • Nee, Corné. We zijn samen anoniem 🙂 Ik was ook erg verbaasd over het feit dat ik alleen muntgeld kon gebruiken. Maar met pin storten op een anonieme kaart is vrij nutteloos. Alsof ze niet willen dat je echt anoniem bent…

        Ik pin wel eens bij de AH, maar dat is niet zo’n probleem met de ‘anonieme’ bonus kaart. Ik gebruik de bonus kaart alleen als ik contant betaal.

        • Ik heb wel eens ruilacties gedaan met bonuskaarten. Niet dat ik denk dat het geholpen heeft (want inderdaad, ik gebruik dezelfde pinpas in dezelfde winkel.)

          Wel eens gevraagd aan een medewerker van hoofdkantoor van AH of dat nu nut heeft, die verzameldrift. Degene die ik sprak gebruikte de data vooral om nauwkeurig te voorspellen wat de omzet van een nieuw te openen winkel wordt. Als je een winkel neerzet en verwacht 3 ton per week te draaien, en hij draait maar 1 ton per week heb je een probleem. Ze gebruikten twee modellen. Eentje gewoon met de publieke data per wijk, een ander met detailgegevens per bonuskaarthouder (waarbij data van alle anonieme bonuskaarten werd weggegooid wegens onbetrouwbaarheid en gebrek aan koppeling met adres). Beide modellen hadden ongeveer dezelfde nauwkeurigheid. Reden om ze allebei te gebruiken was ter controle, als er een verschil in uitkomst was tussen de modellen gingen ze nog even verder kijken. En wat nauwkeurigheid betreft: daarvoor bleek een goede supermarktmanager VEEL grotere invloed dan alle data, plus lokale kennis. Een weg die opgebroken wordt heeft erg veel invloed op de omzet, en zat niet in het model.

          Je kan je kortom afvragen wat het nut is van individueel zo veel data verzamelen.

    • Iedereen roept maar dat je bij een PIN betaling automatisch je privacy kwijt bent; maar ik zou graag weten welke gegevens een verkoper nu ontvangt als je een PIN-betaling doet en (voor de OV-chipkaart) welke gegevens de vervoerders doorgeven aan Translink bij een opwaardering.

      P.S. Betrouwbare geruchten vertellen mij dat de reisgegevens van bussen off-line (nachtelijk) aan Translink worden doorgegeven en dat je door het saldo on-line te volgen geen actueel beeld hebt van de reisgeschiedenis.

      • Je bankrekening is gekoppeld aan jouw identiteit; je PIN-betaling is gekoppeld aan je bankrekening. Die koppeling is in ieder geval bekend bij de bank. Wat bij Translink bekend is is de koppeling tussen je PIN-betaling en je OV chipkaart, en ik denk ook tussen je OV chipkaart en je reisgedrag. Als je beide databases koppelt heb je alle gegevens. Ik weet niet of het gebeurt, maar het kan gebeuren, en als de gegevens bewaard blijven kan iemand het in de toekomst besluiten te doen, zelfs als het nu nog niet gebeurt. Je hebt daar als gebruiker geen controle meer over, dus moet je het eigenlijk nu al zien als een verlies van privacy. Het moment waarop je privacy verliest is het moment waarop je de controle over je gegevens verliest.

        Je beeld van off-line (nachtelijk) doorgeven klinkt realistisch. Qua ping-tijd is het lastig om online betalingen echt lekker snel te maken: PIN-betalingen duren bijvoorbeeld altijd wel een paar seconden. Daarnaast is het waarschijnlijk duur om elke bus continu online te houden. Ik kan me voorstellen dat het oorspronkelijke idee van de OV chipkaart was om het helemaal offline te laten werken (vandaar dat het saldo op de kaart wordt opgeslagen), maar nu die kaart is gehackt zullen ze waarschijnlijk saldi regelmatig online checken, en gehackte kaarten blacklisten.

        • Corné; ik wil de hele OV-chip-PIN-keten helder hebben waar het gaat om welke verwerking van welke persoonsgegevens er waar plaats vindt. Voor het gemak gebruik ik de NS als voorbeeld van de vervoerder, maar ik neem niet aan dat de zaken met een andere vervoerder anders zouden liggen.

          Als ik bij een NS-automaat mijn Ov-chipkaart opwaardeer met een PIN-betaling dan gebeuren de volgende zaken:
          1. NS-automaat vraagt aan PIN-module om betaling
          2. Bank en PIN-module communiceren over het toestaan van de betaling (Na invoeren pinpas en code)
          3. PIN-module vertelt NS-automaat dat betaling is toegestaan
          4. NS-automaat verhoogt saldo op Ov-chip
          5. NS-automaat meldt opwaardering aan Translink

          Mijn vragen zijn:
          a) Welke persoonsgegevens worden in de stappen 1 tot 3 door de bank aan de NS doorgegeven?
          b) Krijgt de NS op haar bankafrekening mijn persoonsgegevens te zien?
          c) Welke gegevens meldt de NS aan Translink gerelateerd aan het opwaarderen van de Ov-chipkaart?

          Ik bedenk nog een volgende: Hoe voorkom ik dat de belastingdienst de verschillende administraties naast elkaar legt?

    • Dat klopt, maar het gaat meer om aanvallen van buitenaf: dat kan niet zo makkelijk met een anonieme omdat ie niet op naam staat. Dus hooguit kunnen ze je geld jatten, maar dat lijkt me minder een probleem dan als ze je identiteit achterhalen. Zeg nou zelf: wat raak je liever kwijt, 20 euro op je OV-chip of je identiteit?

  4. Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Voor personen die geen toegang hebben tot de tenaamstellingsgegevens uit het kentekenregister, zijn kentekens geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid. Het hangt dus van de context van het gebruik af of het wel of niet gaat om persoonsgegevens

    Bovenstaande is een citaat uit de toelichting op Artikel 1 sub a Wbp. Gezien het voorbeeld van kentekens uit het citaat: Waarom zouden kaartnummers van OV-chipkaarten voor mensen zonder toegang tot de administratie van TLS dan wél persoonsgegevens zijn?

  5. Ook bij een anonieme kaart zou het geactiveerd zijn van een account een eis moeten zijn voordat er verdere verwerking plaatsvindt. Dat geldt al helemaal voor het onbeveiligd op internet beschikbaar maken van saldo en reisgegevens. Overigens zijn er ook derden aanbieders die de gegevens van Translink krijgen en in de eigen webomgeving ontsluiten. Veelal wordt daarmee een soort “beheer in uw eigen account” door werkgevers aan werknemers opgedrongen. Ergste is dat er OR leden zijn die menen dat hun “instemmingsrecht” collectief de individuele vrije keuze voor instemming met de verwerking met persoonsgegevens in kan vullen.

      • Naar mijn mening kan dat niet zo ver gaan dat ook het gebruik van extern internet aan een werknemer wordt opgedrongen. Bij een webomgeving hoort een verdeling van de verantwoordelijkheid en die behoort te worden getoetst aan de vrije individuele keuze en de persoonlijke mogelijkheden (handelingsbekwaamheid en – bevoegdheid in combinatie met beschikbare techniek). Het OR instemmingsrecht is eigenlijk meer een recht op afkeuring, dat er een effect is waardoor de instemming van de OR mij (aanvullend) bindt, terwijl dat in de regeling van de werkgever nog niet aan de orde was, dat kan volgens mij niet waar zijn. Combinatie met Bestuursrecht is nog ingewikkelder.

        • Die volg ik echt niet “Naar mijn mening kan dat niet zo ver gaan dat ook het gebruik van extern internet aan een werknemer wordt opgedrongen.” Als mijn werkgever zegt: dienstreizen doe je met OV, dat mag je anoniem doen maar als je wilt declareren niet, daarvoor hebben we deze omgeving (eigen beheer) die van Translink de gegevens krijgt …. wat is daar mis mee? Als ik overigens niet wil dat mijn werkgever privereizen kan zien, zal ik 2 kaarten moeten hebben. Of andere reisproducten voor eigen reizen. Net als bij mobieltjes toch: mijn werkgever kan in principe mijn telefoniegegevens zien. In hun beheerde omgeving tussen telecomprovider en mijzelf. Als ik dat niet wil moet ik een 2de mobiel nemen voor prive. Enfin 2 vragen eigenlijk.

          • Een werkgever die een intranet gebruikt om met werknemers over reisproducten te communiceren is heel iets anders dan dat de werkgever een webservice bij een externe laat en de werknemer over internet daar naar toe moet. Steeds vaker wordt het toezicht op het gebruik van reisproducten uitbesteed en verbonden aan internetgebruik door werknemers. De risico’s die daar bij horen en de verdeling van verantwoordelijkheden, dat is wat mij zorgen baart.

            • Maar als ons intranet in de cloud staat, al onze kernsystemen bij SAAS leveranciers gehost worden dan zou dat zeker ook ‘zorgen baren’ toch? Ik moet de hele dag “over internet”. Door buiten het netwerk/intranet van mijn werkgever om naar werksystemen te gaan. Wel met SSO enzo maar toch.

              Reden dat ik even door vraag is omdat ik anders een punt blijk te missen achteraf. 😉

                • Oh zie je wel, het punt dus. 😉 Werken met derden is inherent aan declareren toch? Bij ons gaat alles dat niet via het inkoopsysteem loopt, via derden op declaratiebasis. Dus als ik een boek koop voor mijn werk/professionalisering van een uitgever (niet aangesloten via ons inkoopportaal) via, zeg BOL, dan maak ik daar een account ‘over internet’, download factuur en dien deze ter declaratie in. Met dienstreizen net zo toch? Dat OV/Translink dan zo met gegevens omgaat blijft slecht. Maar mijn werkgever gaat niet adhoc-treinkaartjes via een eigen inkoopsysteem aanschaffen voor de medewerkers. Zou opzich wel een aardige zijn, maar dan moet de doorlooptijd stuk korter.

                  • Als ik bij BOL iets wil kopen kies ik er zelf voor om een account aan te maken en welke gegevens ik wil verstrekken en tot wanneer. Ik zie veel werkgevers nu de relatie met zo’n derde partij voorbereiden en de werknemer tot gebruik (juridische relatie van verplichte winkelnering) daarvan verplichten. Als dat samengaat met verstrekken van persoonsgegevens, dan gaat het veelal fout. Die verstrekking heeft pas een rechtmatige grondslag (nog te beoordelen op subsidiariteit en proportionaliteit) als het beoogde gebruik (door de werknemer) ook echt plaatsvindt. En als de werknemer het niet kan / wil / doet, dan hoort er dus vooraf niets verstrekt te zijn. Ik heb als persoon rechten, de werkgever heeft, in mijn visie, net meer dan een belang.

          • Een ander reisproduct op de kaart gaat je niet helpen. Als jij bijv. een kortingsabonnement voor jou stad activeert, dan kun je niet meer op saldo reizen in jou stad totdat het abonnement verlopen is. En dat geldt ook voor andere producten. Als ik bijv. een 10-rittenproduct voor mijn stad op mijn kaart zet, maar morgen denk ik: laat ik vandaag eens op saldo reizen om een rit van dat 10-rittenproduct uit te sparen, dan kan ik nergens, zelfs niet bij een automaat, switchen. Dus je zult altijd een tweede kaart moeten hebben voor privéreizen/reizen zonder of met ander product.

  6. Zou het enige lange termijn alternatief zijn een anonieme debitcard die met een sleutels zou werken? Ipv een identiteit? Dan heb je alleen zelf je historie ook niet … Ik neem aan dat transactiegegevens opslaan op een chip niet gaat, qua capaciteit/functionaliteit? Of een app op de Smartphone die je kunt opwaarderen met tegoed als een debitcard en die met NFC bij het poortje afboekt? En alleen de lokale app zelf het totaal heeft van reisgegevens? Heb ‘net’ iets te weinig kennis hoor hiervan. 😉

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

Volg de reacties per RSS