AMSTERDAM - Door een basale beveiligingsfout heeft een hacker het voor elkaar gekregen om met behulp van standaardtools toegang te krijgen tot de persoonlijke informatie van 168.000 reizigers in het openbaar vervoer.

De website www.ervaarhetov.nl van de provincies Gelderland, Overijssel en Flevoland wordt ingezet om mensen warm te maken voor het openbaar vervoer.

Via de website wordt ook een persoonlijke OV-chipkaart aangeboden. Alle aanvragen worden centraal geregistreerd in een database van de provincies.

Basaal lek

Via een fout in de website is het voor onbevoegden mogelijk om met de database te communiceren. Zo kunnen gegevens worden uitgelezen, aangepast of verwijderd. Een hacker met de naam ins3ct3d tipte de redactie van Webwereld via een video, waarin wordt gedemonstreerd hoe de persoonlijke gegevens van een freelance journalist uit de database komen.

De zwakheid is met standaard hulpmiddelen te misbruiken, waardoor iemand met relatief weinig technische kennis toch misbruik van het lek kan maken.

Ook blijken de problemen langer in de site aanwezig te zijn, waardoor het niet bekend is of ook kwaadwillende hackers misbruik hebben gemaakt. Ins3ct3d heeft tijdens zijn onderzoek geen indicaties gekregen dat de aanval werd opgemerkt.

Minister naar de kamer

De provincie Gelderland erkent het lek en belooft beterschap. De website is van internet afgehaald tot er een oplossing voor de problemen bestaat. Voor de Socialistische Partij is het probleem aanleiding om verkeersminister Eurlings vanmiddag naar het parlement te roepen.

Zij willen dat de privacy van de OV-chipkaart voor eens en voor altijd goed wordt geregeld en er een veiligere kaart komt.