Duh, natuurlijk is iemands OV-saldo in kunnen zien een datalek

| AE 10101 | Privacy | 52 reacties

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart, las ik op de blog van Loran Kloeze. De saldochecker van Trans Link Systems blijkt te werken zonder ingelogd te zijn, enkel door invullen van een kaartnummer krijg je het huidige saldo op die kaart te zien. De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

De saldochecker is een simpel en op zich handig tooltje waarmee je je saldo kunt checken. Bij een anonieme kaart kan ik me voorstellen dat je dit als feature aanbiedt, maar bij een persoonsgebonden kaart klopt het volgens mij niet dat er buiten het account om persoonlijke informatie te achterhalen is.

En ja, het saldo op je persoonsgebonden kaart is een persoonsgegeven. Die kaart staat op naam en dus zijn alle gegevens die met de kaart samenhangen persoonsgegevens, geen twijfel over mogelijk. Dat het niet triviaal is om naam en adres van de kaarthouder te achterhalen, doet daarbij niet ter zake. Die link is er, dus zijn het persoonsgegevens.

Helemaal als je de update van Kloeze leest: ook je geboortedatum is te achterhalen zonder inlog, wanneer je via de webshop van de NS iets koopt, geeft TLS je geboortedatum door enkel op basis van een OV-chipkaartnummer.

TLS zegt hierover:

Goed gezien, geen authenticatie. Saldo inzichtelijk, dit is een grote wens van vele reizigers. Wekelijks meer dan 30.000 raadplegingen. Probeer het uit! ^MdeG

Ik denk niet dat ze bedoelen dat het een grote wens van veel reizigers is om elkaars saldo in te zien. Maar het is en blijft een datalek, je bent eenvoudigweg niet bevoegd om andermans saldo in te zien dus daar moet een authenticatiestap tussen.

Arnoud

Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

| AE 9620 | Privacy, Regulering | 34 reacties

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

Waarom is je geslacht relevant bij een ov-chipkaartrestitutie?

| AE 7456 | Privacy | 32 reacties

ov-chipkaart-paal-inchecken-saldoEen lezer vroeg me:

Binnenkort verlopen de eerste OV chipkaarten omdat ze maar 5 jaar geldig zijn. Nu was ik aan het uitzoeken hoe je kan verlengen of je saldo terug kan krijgen? Je kan een formulier ‘Teruggave saldo ANONIEME OV-chipkaart’ downloaden, afdrukken en volledig ingevuld mét je verlopen anonieme OV kaart opsturen. En wat schets mijn verbazing? Ze eisen hierbij best wel veel gegevens van je. Mogen ze dat werkelijk allemaal vragen?

Inderdaad, dat is me nogal een waslijst die ze op dat restitutieformulier van je vragen:

  • Bankrekeningnummer
  • Volledige naam
  • Volledige adres
  • Geboortedatum
  • Geslacht
  • Telefoonnummer overdag

Oké, dat bankrekeningnummer slaat wel ergens op want hoe valt er te restitueren zonder bankrekening? Maar waar is al die andere informatie goed voor? Zelfs over je naam twijfel ik, is die echt nodig bij een bankoverschrijving? En hoezo moeten ze weten of ik de heer dan wel mevrouw Engelfriet ben die z’n geld terug wil, laat staan hoe oud ik ben of waar ik te bereiken ben?

Het voelt als een gevalletje “vraag maar want wie weet”, maar de Wet Chihuahua persoonsgegevens denkt daar toch echt anders over. Je mag alleen gegevens vrágen die daadwerkelijk nodig zijn voor het doel waarvoor je ze nodig hebt.

Onderaan staat dan de geruststellende tekst:

Privacybeleid
De op dit formulier verstrekte gegevens worden uitsluitend gebruikt om restitutie van het saldo uit te kunnen voeren. Uw gegevens worden door ons niet opgeslagen.

Maar eh, hóe dan? Wat doe je met dat geslacht als je het niet opvraagt en je het ook niet bij een bankafschrijving nodig hebt?

Arnoud

Papieren treinkaartje hoeft niet meer, vanwege incheckdisplay

| AE 7018 | Privacy | 44 reacties

Het papieren treinkaartje hoeft niet terug te keren, meldde Nu.nl onlangs. De Nederlandse Spoorwegen (NS) moeten op verzoek wel laten zien welke reis de reiziger op zijn OV-chipkaart heeft staan. Dat blijkt uit een uitspraak van de hoogste rechtbank voor sociaal-economisch bestuursrecht, het College van Beroep voor het Bedrijfsleven. Hoewel Europese regels eisen dat een… Lees verder

Wanneer is een API reverse engineeren computervredebreuk?

| AE 6374 | Security | 27 reacties

Een lezer vroeg me: Onlangs is de OV-Chipkaart app uitgekomen. Uit analyse blijkt dat de app per request een specifieke signature meestuurt, en zonder die signature komt er geen reactie vanuit de server van Trans Link Systems. De methode waarop de signature gemaakt wordt is te achterhalen met decompileren en daarna eenvoudig na te maken…. Lees verder

Nieuwste OV-chipkraak maakt zwartrijder onzichtbaar

| AE 2405 | Innovatie, Security | 44 reacties

Het is mogelijk te frauderen met de OV-chipkaart zonder gebruik te maken van de poortjes. Daardoor valt het misbruik niet meer te detecteren in de centrale systemen. Dat meldde Webwereld gisteren op basis van Brenno de Winter’s geweldige onderzoeksjournalistiek over de OV-faalkaart. Bij het NOS-journaal mocht ik zeggen dat dit “de perfecte misdaad” is: wel… Lees verder

Hacken OV-chipkaart is computervredebreuk (wtf?)

| AE 2347 | Security | 20 reacties

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart. De rechter spreekt van “binnendringen in de chip” van de OV-kaart…. Lees verder

OV-chipkaart toch geen elektronisch geld

| AE 1591 | Informatiemaatschappij, Innovatie | 1 reactie

De OV-chipkaart blijkt geen elektronisch geld in de zin van de wet, zodat exploitant Trans Link Systems geen vergunning van de Nederlandse Bank nodig heeft om de veelgeplaagde kaart landelijk uit te rollen. Recent werden de Europese regels op dit gebied verruimd. De Wet op het Financieel Toezicht bevat een serie bepalingen voor elektronischgeldinstellingen (egi’s)…. Lees verder