Tsja, dáárom is goeie e-privacywetgeving (en vooral de naleving ervan) nu zo belangrijk. Ik heb ervoor gewaarschuwd, met name voor die verdraaide ov-verhipkaart, en dit is het trieste resultaat.

Nog maar een greep uit de brokkenpot.

- straks komt er een hacker die een portabel apparaatje maakt dat mensen voor de lol in-of-uitcheckt wanneer ze langs de hacker lopen
- straks krijgt je hele gezin zomaar 'uit het niets' ov-jaar-chipkaarten, de (enorme) rekening volgt ietsje later.
- straks blijk je ineens als hooligan geregistreerd te staan nadat een stel malloten ergens een treinstel in de fik hebben gestoken (waar je niet inzat maar iemand met een kloonkaart wel)

en gazomaardoor.

Triest stuk plastic, en nog triester systeembeheer.

En niet alleen de OV-chipkaart... Hoe zijn onze vingerafdrukken beveiligd? En het EPD? En weet-ik-wat-voor-gegevens-ze-allemaal-van-ons-hebben? We gaan de komende jaren nog veel meer dit soort verhalen horen vrees ik.

**Tineke Huizinga U kunt U spullen pakken en ga naar Huis!!!! ....Tineke Huizinga**

#3: haha :D

Daarom -> www.piratenpartij.nl

Nog maar eens voor de over-duidelijkheid:

Totdat ze overgaan op een systeem dat een héél stuk veiliger is, mot ik dat stuk plastic niet. Als ze me er toch 1 door de strot proberen te drukken gebruik ik hem wel om wit poeier mee te verkruimelen (nouja niedus) of om de behuizing van apparaatjes mee open te wrikken (weldus).

Een veel betere oplossing: maak het systeem zo dat de kaartjes _capacitief_ geprogrammeerd worden, dus met 2 (twee) elektroden waar het kaartje fysiek tussen geschoven moet worden voor er ook maar iets mee gedaan kan worden. Niet inductief (want dat werkt al op afstand) en zéker niet met RF (want dan kan je overbuurjongen met z'n tot yagi omgebouwde luchtbuks al lol trappen).

Ka-pa-sie-tief. Zeg het tegen je buurvrouw, de bakker op de hoek en zeker tegen de minister!

En stuur die systeembeheerder op les voor z'n SQL-diploma

Wat is het probleem? Het systeem voldoet toch aan de requirements?

Zolang de overheid niet zelf wat meer van IT snapt blijft dit fout gaan. Ik durf erom te wedden dat dit opdrachtje door een IT leverancier is uitgevoerd en dat er nergens bij de opdracht omschrijving iets over veiligheid stond.

Dat zou eens beter moeten in Nederland. Meer IT kennis bij de overheid zodat men op zijn minst kan controleren wat men koopt. Nog beter is het voor een groot gedeelte zelf te doen.

OK, dit moet iemand mij even uitleggen.Door een fout in een website is de OV chipkaart niet veilig? Dit slaat natuurlijk nergens op. Dit is (om een metafoor te gebruken) even logisch als klagen over de kwaliteit van de voordeur wanneer er een ruit aan de zijkant van je huis is ingegooid.

@8 als die gegevens niet werden opgeslagen kon dit ook niet gebeuren. Ik kan nu toch ook zo een kaartje kopen zonder dat al die gegevens nodig zijn? Daar gaat het om.

@8

De OV chipkaart is niet veilig omdat die gegevens opslaat die
a) nergens voor nodig zijn en
b) niet goed beveiligd zijn.

Over de mogelijkheid tot misbruik van de kaart zelf zullen we het maar niet hebben. Dat was al bekend lang voordat het ding in gebruik werd genomen.

@10
Dit gaat over een website die gegevens verzameld. De database van deze gegevens is zo lek als een mandje. De overheid blijkt wederom geen verstand van IT zaken te hebben.
Het is (helaas) weer de OV chipkaart waar het hier om gaat maar voor hetzelfde geld betrof het een museumjaarkaart. Ik ben geen voorstander van de chipkaart (in ieder geval niet zoals het in Nederland wordt gebruikt) maar om nu gelijk Eurlings naar de kamer te roepen en te roepen dat de OV chipkaart fout is gaat me te ver.

Goede zaak. mischien dat dit helpt om ministers waker te schudden.

Ik ben blij dat het is ontdekt en ik hoop dat er nog veel meer wordt ontdekt, ook bij andere organisaties.

@11

De OV chipkaart is om veel meer redenen fout. Die was al fout voordat hij werd ingevoerd en Eurlings wist dat. Evenals iedere andere IT nitwit in de kamer.
Maar ja, de ego's kunnen het niet verdragen om een geliefkoosd projectje af te blazen omdat het niet zo'n heel erg goed projectje blijkt te zijn.

ins3ct3d is een geweldige hacker. Heel goed dat hij het op deze manier aan het licht gebracht heeft!

De lijst wordt langer en langer...

https://www.bof.nl/ons-werk/prive-gegevens/zwar...

Hoe toepasselijk:
http://www.youtube.com/watch?v=zzsP2QVzNoQ

ik geloof natuurlijk niet dat er gehackt is. Want de ministers hebben zelf gezegd dat het veilig is.

Nooit een OV chipkaart op naam nemen dus. Worden al jou persoonlijke gegevens in een database opgeslagen, dus ook wanneer je van huis gaat. Kan dus met gemak gehackt worden...Leuk voor bijvoorbeeld inbrekers, die weten dan precies hoe lang het duurt eer je weer thuis bent...

@19 Alsof ze daar nu zonder die data niet achter kunnen komen... Het wordt met die data alleen wat makkelijk

Wat zijn nou 168.000 reizigers :P

Maar alles wat tegenwoordig met het internet verbonden is heeft kans om gehackt te worden. Niets is volledig lekdicht, kijk maar naar XP welke naar 8 jaar nog steeds beveiligingsupdates krijgt. Wel jammer dat het in dit geval via de standaard manieren is gelukt (bij de overheid mag je verwachten dat er slimme ict-ers werken). Maak het de hacker dan in ieder geval nog moeilijk... :S

@21

Bij de overheid werken geen slimme IT-ers.
Overigens zal deze database zich waarschijnlijk in een datacenter bevinden dat niet van de overheid is. De beveiliging ervan is dan in handen van dat datacenter en beveiliging kost geld. Heel veel geld. Hoe strikter de beveiliging hoe meer.
Aangezien de database ook al niet van de overheid is, maar van de ov bedrijven (dat was tenminsten de bedoeling) zullen de kosten ervan door de OV bedrijven beoordeeld zijn. De kans dat die zakken met geld uit gaan geven om de gegevens van hun klanten te beschermen lijkt me erg gering.
Beetje slot op de deur en wat passwords en dan heb je het wel gehad.

Deze SPAM wordt u aangeboden door geldgenerator, een goedkope manier om uw geld kwijt te raken.

Ik vind het heel goed dat de SP de minister naar de Kamer heeft geroepen, want de SP zal echt wel hackers in haar midden hebben, die de minister goede oplossingen kunnen aanbieden. Toch?

Redactie ... mag die spam in @23 weg aub.?

@12 Ja, alleen jammer dat we op dit moment geen ministers hebben...

@9 @10
Voor strippenkaart wel, ja. Maar voor een abonnement wordt evenveel gegevens opgeslagen.

Ik heb een 'kale' OV chipkaart waar ik geen grammetje aan persoonsgegevens aan heb meegegeven, dus is dat even veilig als een strippenkaart.

@27

Ach ja. En wanneer er geen geld meer op de OV chipkaart staat, wat gebruik je dan om hem weer op te laden? Je pinpas mogelijk?

Internet en 100% veilig zal nooit samengaan

Werd daar maar wat meer rekening mee gehouden, je hoort er niet meer bij als je tegenwoordig niet alles online zet, jammer en ondoordacht is dat

voor mij geen epd, geen klantenkaartjes, geen ovchip en meer van dat soort flauwekul. Ik vind het al erg dat ik een verplichte bankpas moet hebben om aan mijn centen te komen.....betaal alles cash . ik heb niks te verbergen maar waarom mijn priveleven door al die zogn slimme jongens op straat moet liggen is mij een raadsel.en in die "slimme"jongens in de regering etc heb ik al helemaal geen vertrouwen, als ik ze zie heb ik al gegeten en gedronken, lekker goedkoop ook nog eens.....

@28: nee cash, slimpie.

De piratenpartij is nog zo slecht niet om op te stemmen.

@23

Grappig, de tekst is veranderd?
Leuke actie redactie .... ;-)

1. Onze overheid is niet (en tot nu toe nooit) in staat geweest om een groot automatiseringsproject correct uit te voeren en op redelijke basis te bekostigen.
2. Onze overheid waarschuwt internetgebruikers mbt hun privacy en de daarbij behorende veiligheidsmaatregelen, terwijl zij zelf deze privacy met voeten treedt en onveiligheid eerder veroorzaakt dan tegengaat.
3. Onze overheid, bij monde van vele politici, voelt zich vaak onterecht bekritiseert en aangevallen (op automatiseringsgebied), terwijl diezelfde overheid niet in staat is ook maar een automatiseringsproject tot een goed einde te brengen.
4. Op basis van het bovenstaande zou het blijk geven van een ernstige gestoordheid wanneer wij de overheid niet in de ballen blijven trappen mbt hun tenenkrommende uitvoer van automatiseringsprojecten.

@21 Bij de overheid werken geen slimme ICT'ers. Die werken allemaal bij commerciële bedrijven waar ze véél meer geld kunnen verdienen dan als ambtenaar. Of ze werken voor criminele organisaties en hacken/phishen er vrolijk op los en verdienen zo nog veel meer.

Een aangezien de overheid zwaar moet (gaan) bezuinigen, zal er ook wel geen budget komen om die slimme ICT'ers in te huren. Doet de overheid dat wél, dan begint ú als burger weer te piepen dat de overheid zoveel geld kost......

@18 mozie... Ga af Ga liggen Geef pootje. Vergeet U schoen niet op 5 December!!

Piratenpartij !

ov chipkaart is ramp. waarom moeten we trouwens zon kaartje hebben. dat met de tickets werkt toch ook nog top ofniet. heb je teminsten geen gezeik met in en uitchekken.

@6 hoeft geen SQL te zijn , is wel goed mogelijk dat de hacker d.m.v. SQLInjection achter de gegevens kwam. Er kan ook gebruik zijn gemaakt van niet beveiligde JavaScript wachtwoorden, daar sommige binnen de functie of class moeten staan.

@8 de kaart en de site staan aan elkaar gekoppeld vanwege snelheid bij het vernieuwen en bijhouden van gegevens. Is wel onveilig (zoals nu gebleken)

Neemt niet weg dat het slecht dat de mogelijkheid bestaat dat een site met privé gegevens die door de Overheid verzorgt wordt niet voldoende beveiligd is dat er niet eens opgemerkt wordt dat er iemand binnen is zonder toegang. Bij dat soort project lijkt het me dat je de database en de mogelijk tot benadering zo sterk mogelijk beveiligd. Naar mij idee is er een hele grote fout gemaakt of een onderdeel wat uitgevallen is. Maarja , blij dat ik de mijne niet gebruik

auto is veel sneller (A)

De OV-chipkaart is wel een goede vervanger voor het papieren kaartje, alleen is de invoering veels te snel gegaan. Over een paar jaar is iedereen eraan gewent en zeurt men er niet meer over. En over de veiligheid van het internet, tjah, daar kun je over blijven discussiëren.

Information is the name of the game
http://www.michelkraay.nl/

Jullie zuren wel over persoonsgegegevens die opgeslagen worden. Wat dachten jullie van je account op nujij.nl. Als ze deze site hacken hebben ze je ip-adres en e-mailadres.

@42 Laat ze ook niet meer hebben

ToSki #42

en wat dan nog een ip-adres kun je zelf wijzigen evenals een e-mail adres (heb dat meermalen gedaan als gevolg van die k**$@# spam ) maar over de gegevens op de databank van de ov chipkaart heb je geen enkele kontrole daar kun je niets aan veranderen

Wel een veilig idee voor het Electronisch patienten Dossier.!!! Zou veilig zijn. Geen wonder dat ze bij de overheid zoveel "deskundigen "moeten inhuren.
Zet er mensen neer die verstand hebben van IT, dat scheelt dubbele kosten aan mensen.!!

Overheid en techniek........... gaat nooit werken!!!!!
Daarom ben ik ook tegen het EPD. Net zoiets.

@28

Een oplaadautomaat accepteert ook muntgeld.

@47
Ik woon in Amsterdam, vlakbij een metrolijn, het eerste apparaat wat ik tegenkom waar ik met cash zou kunnen opladen is 6 kilometer verderop.

keygen
das t mooiste woord van de afgelopen 20 jaar volgens mij

Dit geeft natuurlijk ook te denken over die goedbeveiligde database met vingerafdrukken.

Het gaat daar altijd zo lekker.
De bezem er door.
Iedereen check even de trefwoorden dat zegt alles.

@39 inderdaad het is gewoon met sql map gedaan (zie link) http://bit.ly/a6WhHd

ik ben ook tegen die verrekte ov-chip kaart, waarom niet gewoon de strippenkaart gehouden?

Met deze incompetente overheid verbaast me dit bericht helemaal niet.
Rechters die hun USB sticks verliezen. Dossiers van strafzaken die je zo nu en dan op straat tegenkomt. DE OVERHEID IS LAKS!! Het mag allemaal niks kosten maar ze willen wel vooraan op de eerste rij zitten!

Ze verzinnen heel wat digitale systemen wat ons leven zogenaamd gemakkelijker zou maken. Wat ze bedenken daar hebben ze helemaal de ballen verstand van. Ik hoop dat het EPD er niet komt. Ik moet er niet aan denken dat al mijn medische gegevens zomaar op straat komen te liggen.

Overheid jullie zijn regelrechte PRUTSERS!! En politici die nergens verstand van hebben maar wel dingen willen invoeren, ga AUB een andere baan zoeken!!

De meeste mensen hier ageren tegen 'de overheid' en tegen de OV-chipkaart.
Dat is onjuist: het gaat hier om een beveiligingslek van een website. De BOUWER van die website heeft hier gewoon een taak laten liggen en een enorme blunder begaan, NIET 'de overheid'. Wat hier trouwens een LOKALE overheid betreft en niet de CENTRALE overheid in Den Haag.
Belangrijk onderscheid:
In Den Haag is bepaald dat de OV-kaart landelijk wordt ingevoerd
De lokale overheid bedacht een actie.
De BOUWER screwed up!

Niet de overheid
Niet de OV-chipkkaart

Er is zelfs totaal geen verband met de beveiliging van de OV-chipkaart: die had supersterk kunnen zijn en dan nog had je de gegevens via de website boven water kunnen halen.

En voor al die mensen die klagen dat je uberhaupt persoonlijke gegevens nodig hebt voor de OV-chipkaart: NEEEN! (met extra N voor de duidelijkheid)
Nee, want je kunt ook gewoon een anonieme kaart kopen.
Alleen als je gebruik wilt maken van extra mogelijkheden dan moet je persoonlijke gegevens achterlaten.
Nogal wiedes: dat moet je ook als je een abonnement neemt op de stadsschouwburg.
Via hun site.
Die ook slecht beveiligd kan zijn.
Door de bouwer...!

En dan haaklt de SP de OV-Chipkaart erbij, omdat het verkiezingstijd is, No Doubt.

Dus we zitten in een wereldwijde crisis, er is focus nodig voor de grote problemen, en de SP roept een minister ter verantwoording voor de OV-Chipkaart vanwege een probleem met een een lokale site door een screw-up van een commerciële bouwer...

Nee dat wordt wat me de SP in de regering: de IT problematiek bij het UWV en de belastingdienst is vast in goede handen bij een partij die op dit basale niveau al het spoor compleet bijster raakt...

Tjonge... De klassieke SQL-injectie !
En dat nog steeds, in 2010....

Absolute prutsers huurt de overheid kennelijk.

@55 wat is dat nou voor onzin? Tuurlijk is de overheid verantwoordelijk.

Wat is er goed aan, dat de overheid haar ICT niet zelf voor 100% onder controle heeft? Het is namelijk wel zo dat die ICT op dit moment in feite de wetten uitvoert en dus de overheid IS.

Die OV kaart is een wet. Die is verplicht. Daarvan wordt geacht dat die gebruikt wordt. Dus alles, wat ook maar een beetje naar OV kaart ruikt, valt direct onder de verantwoordelijkheid van de overheid en in ultimo de burger zelf.

Het is prima dat de overheid een bouwer gebruikt om zijn wetten uit te voeren, maar dan gelden dus wel dezelfde zorgvuldigheids regels van de overheid voor die bouwer. Op zijn minst moet de overheid in staat zijn die bouwer te kunnen controleren om zich ervan te kunnen vergewissen dat hij fatsoenlijk werk afleverd.

Want het is niet de bouwer die verantwoordelijk is, het zijn wij de mensen die overheid dit soort werk laat uitbesteden aan incompetente bedrijven die uiteindelijk echt verantwoordelijk zijn.

@55: wie heeft de opdracht gegeven?
wie zou het opgeleverde project moeten testen?

Is volgens mij toch de overheid.

@58 @59
- Een website is niet gelijk ICT. Zoals een folder niet gelijk een drukkerij is.
- je kunt niet alles onder contrle hebben, tenzij in Communistisch China (waar het ook niet lukt)
- Je zegt zelf al 'incompetent bedrijf': het bedrijf is dus verantwoordelijk voor het kiezen van een gevaarlijke oplossing.
- Onherroepelijk is er een projectmananager ingehuurd die dit gewoon niet had mogen laten optreden. Iedereen is altijd ergens afhankelijk van een externe. Dus die bouwer is vast door 'de overheid' te controleren. Die controle heeft alleen gefaald. Maar je kunt niet verwachten dat een ambtenaar kennis heeft van webtechniek,
- Als overheid wil en kan je die kennis ook niet allemaal in huis hebben want dan krijg je een veel te grote overheid: wat wij ('de burgers') niet willen.
- "...Dus alles, wat ook maar een beetje naar OV kaart ruikt, valt direct onder de verantwoordelijkheid van de overheid en in ultimo de burger zelf." Oh, dus wij 'de burgers' zijn verantwoordelijk? Mag ik die verantwoordelijkheid dan gelijk weer naar jou afschuiven ;)

Maar deze site had gewoon veilig moeten zijn en daar had de bouwer garant voor moeten staan.
En er moeten goede regels komen voor het opslaan van persoonlijke gegevens: En die moeten zowel voor Google gelden als voor de overheid als voor de burger zelf die nu veel te gemakkelijk overal maar gegevens achterlaat.

@60: als ze zelf niet zo goed zijn in testen, kunnen ze daar toch ook mensen voor inhuren. Naar ik begrijp is het iets wat makkelijk 'te hacken' is met een beetje verstand van zaken.
Er zjin tegenwoordig bedrijven die gespecialiseerd zijn in testen.
Hoe je het ook draait, de verantwoordelijkheid blijft bij de overheid liggen.

@60

ICT is een hele breede term toch? Information and Communication Technology. Daar valt inprincipe zelfs ook die drukkerij onder. Immers in een folder staat ook informatie. Wat jij door elkaar haalt is het fabriekjes denken. De informatie op een folder kan op een gegeven moment zonder de fabriek. Dat geldt voor een website niet. Haal daar de fabriek weg (de website) en je informatie is niet meer toegankelijk.

Waarom hebben we ambtenaren? Om wetten uit te voeren. De praktische operationele kant van wetten. Dus zodra die wetten worden uitgevoerd door ICT, vind ik het juist heel logisch dat een ambtenaar "kennis heeft van webtechniek" onder andere. Hoe moet kan hij anders weten of de wetten correct worden uitgevoerd?

Controleren is een erg brede term, dat heeft niet gelijk met communisme te maken. Maar veel meer met contracten en verstandig zaken doen.
Zoals ik al zei een klant (de overheid) moet op zijn minst in staat zijn om een opdrachtgever te kunnen controleren op zijn geleverde werk. Dat is dood normaal voor WC papier, schoonmaak services en ook voor marine schepen, maar blijkbaar opeens onmogelijk voor ICT.

Daarnaast garant staan is niet voldoende. De gegevens liggen al opstraat. Dus ja je kan je geld terug krijgen van de bouwer en dan? Het moet wel van twee kanten komen. De klant heeft een eigen verantwoordelijkheid om zich niet te laten oplichten en de bouwer moet bewijzen dat zijn spullen afdoende werken en daar middels een overeenkomst voor garant staan.

Ik ben het met je eens over die "betere" regels. Maar ik denk dat goede kennis van ICT bij de overheid meer helpt.

de mensen die zeggen die website is niet meteen ICT hebben natuurlijk gelijk.

alleen als diezelfde website van de overheid zo gauw en makkelijk gekraakt wordt wat doet dat met het vertrouwen in de overheid die toch geacht wordt onze privacy goed te beschermen?

@48

Jemig! Dus... dat betekent dat het je ook nog eens EXTRA geld kost (een extra reisje met die OV kaart) wil je je kaart anoniem kunnen opladen...

Ze weten de burger wel op verkapte manieren nóg meer geld uit hun zak te kloppen.

@39
Vertel me alstublieft:
1. Dat u niet daadwerkelijk gelooft dat een website met javascript te beveiligen is.
2. Dat dit ook werkelijk gebeurt op websites.(nee dus)

Javascript code wordt naar de computer gestuurd. Een hacker kan gewoon de Javascript code lezen en dus ook het wachtwoord. Iemand die zijn wachtwoord in Javascript zet moeten ze al zijn ICT-diploma's afpakken en weer op cursus sturen. Javascript is dus niet gemaakt om een website te beveiligen!

On topic:
Wat voor kneuzen hebben ze ingehuurd om die website te beveiligen zeg.
Goed dat zo'n hacker dus aantoont dat de beveiliging ronduit slecht is.

ambtenaren en IT. Het zoveelste geval dat dit niet samengaat. Die slapende sandalen weten niet eens wat een PC is. De beveiliging van die site was wel heel erg knullig. Kan me niet voorstellen dat professionals hiermee bezig zijn geweest. Lijkt wel het werk van een 12 jarige hobbyist. (al doen die het vaak ook nog beter).