Datalek verkeerscamera’s: foto’s automobilisten op straat
Opnieuw een datalek dat automobilisten treft. Na een lek bij de ANWB en een groot gat bij RDC blijkt nu dat de beveiliging van een aantal verkeerscamera’s niet op orde was. Het gaat om beelden waarop niet alleen kentekens te zien zijn, maar ook inzittenden van auto’s en meer.
Kwaadwillenden konden live meekijken met slecht beveiligde camera’s van ARS Traffic & Transport Technology, ontdekte Argos. Dit bedrijf voert digitale wegcontroles uit voor bedrijven en overheden. Er zijn opnamen gevonden van diverse locaties in Maastricht, Zutphen, De Bilt en Den Bosch. Mogelijk speelt dit in meer Nederlandse gemeenten.
Beveiliging verkeerscamera’s rammelde ernstig
De camera’s van ARS worden door gemeenten ingezet om te handhaven op bijvoorbeeld sluipverkeer. Argos ontdekte dat het kinderlijk eenvoudig is om mee te kijken. De beelden van diverse verkeerscamera’s stonden op een onbeveiligde server. Alleen het adres weten en in de browser intikken was genoeg om toegang te krijgen tot een berg opnamen. Het onderzoeksprogramma vond duizenden opnamen die teruggaan tot 2017. Bovendien was het wekenlang mogelijk om met slechts enkele seconden vertraging mee te kijken.
Daar blijft het echter niet bij, want de beelden bleken veel te lang bewaard te worden en de handleiding die omschrijft hoe koppelingen met de database van de RDW gemaakt kunnen worden stonden onbeveiligd op dezelfde server. Kwaadwillenden konden niet verder de systemen binnendringen. Daar zat wel beveiliging op.
Automobilist moet komende tijd alert zijn
ARS Traffic & Transport Technology spreekt van een menselijke fout en heeft het lek inmiddels gedicht. Er worden structurele maatregelen genomen om dit in de toekomst te voorkomen, zegt directeur Jan Lissen. Hij ziet de nieuwswaarde van dit lek echter niet: “Misbruik door kwaadwillenden is eenvoudiger door een dag met een notitieblokje langs de weg te staan.”
Hoogleraar recht en informatisering Corien Prins is het daar niet mee eens. Ze noemt het lek tegenover Argos ernstig. En dat niet alleen omdat hier de persoonsgegevens van duizenden mensen slecht zijn beschermd, maar ook omdat kwaadwillenden met deze data burgers kunnen afpersen of oplichten, bijvoorbeeld door valse verkeersboetes te incasseren. Door het combineren van eerder gelekte gegevens met de gegevens uit dit lek, ontstaat een serieus risico.
Gegevens miljoenen automobilisten te koop, mogelijk grootste datalek ooit
Zowel de betrokken gemeenten als het bedrijf zelf hebben inmiddels de Autoriteit Persoonsgegevens ingelicht. Het is raadzaam om de komende tijd alert te zijn op e-mails en brieven met valse verkeersboetes of andere zaken die naar een kenteken en locatie te herleiden zijn.