De Nederlandse Spoorwegen melden dat onbevoegden bij accounts van 2000 klanten hebben ingelogd. Daarbij zijn mogelijk privégegevens ingezien die via het account zichtbaar zijn, zoals namen, adressen, geboortedata en reishistorie.

De onbevoegden wisten vorige week zondagavond in te breken op accounts. Het lijkt er volgens de NS op dat ze gebruikmaakten van lijsten van e-mailadressen en wachtwoorden die op internet circuleren om op grote schaal inlogpogingen te doen. Omdat veel mensen voor meerdere diensten hetzelfde wachtwoord gebruiken, lukt het met dergelijke credential stuffing dan vaak succesvol in te loggen op accounts.

Naast persoonsgegevens waren in sommige gevallen reisgegevens in te zien. Dat was mogelijk als de ov-chipkaart van de gebruiker gekoppeld is aan het NS-account. De NS meldt aan het AD dat het bedrijf geen aanwijzingen heeft dat de gegevens misbruikt zijn. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een dergelijk datalek.

De NS sluit niet uit dat meer accounts getroffen zijn. Hoewel de massale inlogpoging zondag plaatsvond, constateerde de NS woensdag pas dat er geslaagde inlogacties bij zaten. Donderdag heeft het bedrijf de getroffenen ingelicht en uit voorzorg de accounts geblokkeerd.