NS dichten gapend gat op website

AMSTERDAM - Kwaadwillenden konden op heel eenvoudige manier de persoonlijke gegevens van klanten van de Nederlandse Spoorwegen inzien, wijzigen of misbruiken. Een inmiddels herstelde fout op de website van de NS maakte dat mogelijk.

Op de site kunnen treinreizigers een eigen account aanmaken, waarbij ze hun klantnummer, een e-mailadres en een wachtwoord moesten opgeven. De site controleerde echter niet of aan het betreffende klantnummer al een account of een e-mailadres gekoppeld waren, zo meldt Security.nl. Een nieuw aangemaakt account werd automatisch gekoppeld aan het opgegeven klantnummer.

Kwaadwillenden konden zo de accounts van NS-klanten overnemen. Eenmaal ingelogd konden ze diens gegevens inzien of wijzigen, of bijvoorbeeld abonnementen bestellen.

De NS hebben de fout inmiddels hersteld.

Tip de redactie