OV-chip website lek

En weer een lek rondom de OV-chipkaart… De site Ervaar het OV wil mensen aanzetten een op naam gestelde OV-kaart te nemen, en biedt daartoe kortingen en aanbiedingen. Inmiddels hebben zich ruim 168.000 mensen aangemeld via de site.

En die blijkt lek. Met een eenvoudige MySQL-inject kun je de gegevens van die 168.000 mensen ophalen, maar ook veranderen. Het gaat om hun naam, adres, geboortedatum, e-mail adres, telefoonnnummer, en waarschijnlijk ook om hun paspoortnummer en de wijze waarop ze hebben betaald. Het lek heeft maandenlang bestaan.

De site is, nadat Webwereld hen over het lek informeerde, uit de lucht gehaald. De OV-chipkaart wordt de komende maanden in een aantal nieuwe regio’s in NL verplicht gesteld voor wie met het OV wil reizen; de SP is van plan – nu er voor de zoveelste keer een lek is vastgesteld rondom die OV-chipkaart – een motie in te dienen om de boel te bevriezen.


Aantal reacties: 10

  1. juzo ≡ 18 May 2010 ≡ 12:58

    Dat zal niet lukken. Half Nederland reist er al mee, en het is deksels gemakkelijk.
    Daarbij komt, dat alles wat is, vernield kan worden. Algehele beveiliging bestaat niet, en zou ook veel te oneconomisch duur zijn.

    Daarom sporen we in Nederland af en toe op, en straffen we steeds harder. Dat helpt.

  2. Robert de Jong ≡ 18 May 2010 ≡ 13:53

    Het ding is een draak omdat de overheid zich niet bewust is van de kosten van een goede beveiliging en doof is voor de kritiek.

    Dit is een exponent van het beleid om alles te doen voor een habbekrats, word er iets gedaan tegen de mogelijke identiteitsdiefstal of word er een persberichtje de wereld in gestuurd waarin het incident word afgedaan als een niemendalletje?

  3. juzo ≡ 18 May 2010 ≡ 14:44

    Dat laatste denk ik, want ‘t ding reist verdomd gemakkelijk. En met mij, op dit moment zo’n slordige 200.000.000.000 personen hè, en daar legt alles ‘t tegen af.
    Dat draai je niet meer terug, Wie dan ook, in z’n eentje.

    En de paar, die d’r misbruik van maken, die gooien we in de nor. Klaar. Af en volgende zaak.

    Daarvoor hebben we de norren, tenslotte.
    Die mensen daar moeten ook wat werk hebben.

  4. Spaink ≡ 18 May 2010 ≡ 14:51

    Hoeveel mensen reizen er met de OV-chip zeg je, Juzo? Maar liefst 200 miljard? Knap. De hele wereldbevolking omvat momenteel zo’n 7 miljard mensen.

  5. Robert de Jong ≡ 18 May 2010 ≡ 15:33

    Ik vind het ding trouwens helemaal niet makkelijk.

    Misschien in de grootstedelijke stations waar je struikelt over de poortjes (die trouwens een aantal doorgang stations nodeloos afsluiten, hallo leiden centraal!) en paaltjes. Hier in het achterland staat er vaak een paal op de meest incourante plek van het hele station zodat je vaak jezelf suf zoekt, die dingen staan niet eens naast de geijkte kaartjes automaten.

    inchecken, uitcheken, saldo bijhouden (tenzij je een abo hebt met allerlei “leuke” extras zoals het feit dat je reisgegevens worden gebruikt om te dataminen).

    Ja handig, gewoon een kaartje kopen, dat was handig en nog veilig bovendien. Want als ik een kaartje verloor kocht ik een nieuwe en nu moet je 11 instanties bellen om de boel recht te breien.

  6. juzo ≡ 18 May 2010 ≡ 15:53

    @ 4 aaaah okee okee, ik overdrijf ‘n beetje, maar ik heb ‘t steekproefsgewijze nagevraagd. En dat is ook wat waard. Voor ‘t overige moet je aan mijn woorden absoluut geen waarde hechten want daar zijn ze absoluut niet voor bedoeld.

    @ 5 Die poortjes staan niet overal.
    Daar is over nagedacht.

    Die dingen kosten geld, en men moet er als reizigerspubliek geen last van hebben.

    Dus staan ze op OVERSTAP stations (bv. Breda, Roosendaal) ook op de perrons, op alle andere stations (Weert, Lage Zwaluwe) precies op de plaats, waar ze ook nodig zijn. Dus bij de in/uitgang en verder nergens. Naast of dichtbij de stempelautomaatjes.

    De forensen-veel-scholieren-studenten-traject-abonnementreizigers weten na 3x heel precies waar ze staan en vergissen zich nooit, want het wordt “honderd” keer in de treinen omgeroepen. Vergeet je uit te klikken, kost je dat ‘n tientje.

    Die jongens en meisjes van NS zijn ook niet gek, die worden heel goed getraind door universitaire werkgroepengroepen waar studentjes zitten met hun NS-afstudeerscriptie.

    Ach, het is nog een beetje nieuw, en het gebrom dat er altijd is verstomt vanzelf.

    Dat is ook heel goed. Waar zouden we zijn,
    als iedereen begon te druiloren?

    Nergens.
    We hebben in de besturing van het land veel meer aan machinaal-zombies.

  7. moose ≡ 18 May 2010 ≡ 20:21

    het systeem heeft 2miljard gekost. dat is dus zo’n 400euri per OV-reizende werkende nederlander, en dan moet je nog extra betalen om ook werkelijk te kunnen reizen. M.a.w : van hetzelfde geld had iedereen een paar jaar lang gratis kunnen reizen!
    *moose geeft nog eens een schop tegen de OV-poortjes*

  8. Maurice ≡ 18 May 2010 ≡ 20:49

    Vooruitgang is stilstand? Ik betaal nog lekker ‘ouderwets’ voor m’n kaartjes. Dat kan hier nog. (woohoo)

    En een beetje goed hun site programmeren was misschien wel verstandig geweest; sql injecties zijn nou niet bepaald een nieuw fenomeen.

    En juzo, 200 miljard is zelfs ruim meer dan schattingen van ‘t totale aantal mensen ever.

    Oh, en koren op de molen van BOF, lijkt me? iig goede timing.

  9. juzo ≡ 18 May 2010 ≡ 20:59

    Het kostte wel 2 milj, maar ‘t levert 10 milj op, en daar kunnen we nieuwe (hsl/thalys) treintjes van kopen en ‘t onderhoud zodanig doen, dat er geen karren ontsporen en de seinen wissels bruggen in ‘n betrouwbare stand worden gezet. Tel uit je winst.

    De auto’s hoepelen over enige tijd toch al vanzelf de wegen af want dat gaat zo niet meer langer. Zij zijn de gevaarlijkste/duurste.

  10. Thomas J. Boschloo ≡ 25 May 2010 ≡ 12:45

    Karin, ben je je bewust dat WordPress ook MySQL gebruikt om al je data op te slaan? http://wordpress.org/about/requirements/

    Je hebt het over een eenvoudige MySQL-inject, maar hoe zeker ben je dat dit jou niet kan overkomen?

Trackbacks & Pingbacks 1

  1. From Twitter Trackbacks for Karin Spaink - OV-chip website lek on 18 May 2010 at 13:10

    […] Karin Spaink – OV-chip website lek http://www.spaink.net/2010/05/18/ov-chip-lek – En weer een lek rondom de OV-chipkaart… De site Ervaar het OV wil mensen aanzetten een op naam gestelde OV-kaart te nemen, en biedt daartoe kortingen en aanbiedingen. Inmiddels hebben zich ruim 168.000 mensen aangemeld via de [..]
    mverboom: “Weer een lek bij de OV-chip, dit keer het website: http://bit.ly/bXTKMR

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *