Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Toespraak bij de uitreiking “Journalist van het Jaar”

Beste aanwezigen, beste kijkers naar de stream,

“Stoer! ICT-journalistiek is niet meer vies of een fout buitenbeentje”, was de eerste gedachte toen Dolf Rogmans mij confronteerde met het feit dat ik tot journalist van het jaar was verkozen. Alles is anders dan in 2008. Toen werd ik nog geweigerd om vooraf kennis te nemen van de plannen van de regering rond technologiebeleid onder de verwensing dat dit ‘alleen voor serieuze journalisten’ was. Tegenwoordig mag een minister van Binnenlandse Zaken in het holst van de nacht oreren over de gevolgen van een hack. Langzaam dringt het besef door dat blunderen bij Diginotar samen met falend toezicht in Nederland mensenlevens in Iran kost. Technologie beheerst ons leven net als economie, olie en politiek dat doen. Continue reading “Toespraak bij de uitreiking “Journalist van het Jaar””

Statement over verhoor TLS

Woensdag 22 juni 2011 om 14:00 wordt onderzoeksjournalist Brenno de Winter door de recherche gehoord over zijn onderzoek naar manco’s in de beveiliging van de OV-chipkaart. In januari kwam het nieuws naar buiten dat met standaard beschikbare programmatuur en een apparaat van dertig euro de OV-chipkaart eenvoudig te kraken is. Daarbij bleek uit onderzoek dat veel van de dubieuze transacties door het verantwoordelijke bedrijf Trans Link Systems niet werd ontdekt. Continue reading “Statement over verhoor TLS”

Reactie Brenno de Winter en Gemeente Kaag en Braassem op uitspraak rechtbank Den Haag

Dit bericht is opgesteld in samenwerking met de Gemeente Kaag en Braassem

Burgers en journalisten die de overheid vragen eerder niet geopenbaarde documenten te openbaren, kunnen daarvoor niet langer de rekening gepresenteerd krijgen. Wie de Wet openbaarheid van bestuur (Wob) inzet, maakt informatie voor iedereen toegankelijk en dat is in het algemeen belang. Dat is de conclusie die valt te trekken als gevolg van de uitspraak van de rechtbank ‘s-Gravenhage in een zaak tegen de gemeente Kaag en Braassem, die is aangespannen door onderzoeksjournalist Brenno de Winter. De gemeente had leges gerekend voor het nemen van een beslissing van een verzoek.

Continue reading “Reactie Brenno de Winter en Gemeente Kaag en Braassem op uitspraak rechtbank Den Haag”

PERSBERICHT: Journalist daagt Camiel Eurlings voor opheldering 1,338 miljard euro

EDE – Onderzoeksjournalist Brenno de Winter daagt verkeersminister Camiel Eurlings voor de rechter om opheldering af te dwingen over 1,338 miljard euro. Voor dit geld gaf het Ministerie van Verkeer en Waterstaat in 2000 met instemming van de Tweede Kamer toestemming aan ProRail en NS om hiermee een fonds op te richten. De bewindvoerder weigert nu opheldering te geven over de besteding daarvan. Continue reading “PERSBERICHT: Journalist daagt Camiel Eurlings voor opheldering 1,338 miljard euro”

In het nieuws: OV-chipkaart grootste flop van 2009

Het journalistieke onderzoek naar de OV-chipkaart en de problemen daarbij wordt door de lezers van de ICT-nieuwssite Webwereld gewaardeerd. Zij zijn van mening dat de kaart de grootste ICT-flop van 2009 is, geweest. Als houder van het dossier bij Webwereld, werd ik natuurlijk ook om commentaar gevraagd. Het mag duidelijk zijn: het onderzoek is nog niet afgerond.

De OV-chipkaart is door de lezers van Webwereld uitgeroepen tot ict-flop van het afgelopen jaar. Het anti-Torrentoffensief van Brein en de embed-taks van Buma delen de tweede plaats.

Met een ruime voorsprong krijgt de OV-chipkaart het predicaat ict-flop van het jaar. 25 procent van de in totaal 3150 uitgebrachte stemmen gingen naar het omstreden vervoersbetaalsysteem. Vorig jaar eindigde de OV-chipkaart al als tweede in de flopverkiezing. Lees het verhaal op Webwereld.

Openheid vragen moet

Als het aan de Tweede Kamerfractie van de PvdA ligt komen er “minder mensen als meneer De Winter”. Dat stelde Tweede Kamerlid Pierre Heijnen gisteren bij de presentatie van een boek over de Wob.In het boek Een muur van rubber vertellen vooral journalisten over de tegenwerking, die zij keer op keer hebben bij het krijgen van openheid van onze bestuurders. In het boek zit ook een hoofdstuk van mijn hand dat vooral inzicht geeft in de creativiteit van sommige ambtenaren bij de rechtzoekende burger. Natuurlijk ook met een voorbeeld van hoe het ook kan.

Ik heb van het wobben op bepaalde thema’s een sport gemaakt, omdat ik anders bepaalde nieuwsverhalen onvoldoende rond krijg of een incompleet beeld heb. Niet omdat ik het leuk vind om iedere keer afwijzingen te krijgen en weer eens in bezwaar te moeten, maar omdat ik weiger akkoord te gaan met het verborgen houden van zaken die ons collectief eigendom zijn. In documenten staat namelijk de formele, bestuurlijke waarheid. Al vraagt de wet van het bestuur veel pro-actief openbaar te maken in de praktijk moet je iedere keer bedelen.

PvdA-feestje
Het boek werd aangeboden aan PvdA-politicus, oud-minister en oud-burgemeester Bram Peper, die ooit zelf als gevolg van een Wob-verzoek in politiek zwaar weer kwam. Dat ging toen over zijn declaratiegedrag. Hij stelde dan ook cynisch vast dat hij zijn functie verloor over bonnetjes, terwijl politici nu het teveel gedeclareerde terugbetalen en daarmee de kous af was.

Bij de bijeenkomst in Nieuwspoort was ook PvdA-kamerlid Pierre Heijnen, die het opnam voor de oh zo arme ambtenaren, die al die vragen van journalisten moeten beantwoorden. Zij moeten al die documenten maar gaan zoeken.

Minder De Winter
Daarbij viel ook de opmerking dat er in Nederland toch niet meer mensen als meneer De Winter moesten komen, want er werd toch echt teveel gewobt. Daardoor zou het systeem verstoppen en het getuigde van mijn luiheid dat ik zoveel vroeg. Tactisch laat hij buiten beschouwing dat de wet voorschrijft dat er een verplichting is om zaken pro-actief openbaar te maken. Ook moet de overheid een goede administratie voeren om stukken te vinden (de “goede en geordende staat uit de Archiefwet). Dat zou veel Wob-verzoeken versnellen.

Toen de opmerking niet goed bleek te vallen in journalistenland volgde het bekende politieke gedraai. Het ging om kleine gemeenten waar vragen een probleem zijn, want met ministeries had hij “geen medelijden”. Mijn wobjes waren vooral een “schot hagel”. Iedere onderbouwing van die stelling bleef uiteraard uit en bleef de link uit met nieuws dat daadwerkelijk wèl werd gemaakt.

Om onderbouwing kon ik natijd ook niet vragen, want meneer had een spoeddebat en moest weg. Iets met overheidsdocumenten over 11 standrechtelijke executies in Afghanistan die de Tweede Kamer niet krijgt. Een relletje dat begon met een Wob-verzoek. Tijdens het debat was er een ander spoeddebat: de RTL-nieuws Wob over de zelfverrijking bij de politietop.

Wat feiten
Toen vorig jaar de rel rond de OV-chipkaart speelde, kon ik samen met dagblad Trouw dankzij een Wob aantonen dat de conclusies fors waren afgezwakt. PvdA-coryfee Jeltje van Nieuwenhoven nam als OV-ambassadeur het elektronisch kaartje in een rapport in bescherming. Reizigers maken zich nauwelijks druk over de privacy. Dankzij de tegenwerking moest ik naar de rechter om hard te krijgen dat deze conclusies nergens op gebaseerd waren.

De irritatie van Heijnen over mijn ene Wob naar alle gemeenten is onheus. Diverse gemeenten konden de documenten binnen een dag vrijgeven. Dit kon simpeler als de VNG openheid van zaken had gegeven, maar zij lieten het liever op een semantische discussie bij de bestuursrechter aankomen. Dat het onderzoek nuttig was, bleek al snel: Het beleid van PvdA-staatssecretaris Heemskerk kon niet zonder kritische journalistiek. Het programmabureau NOiV besloot eerst niemand op decentrale overheden te zetten. Na het onderzoek zijn dat twee mensen.

Als PvdA-staatssecretaris Jetta Klijnsma niet herhaalde visies van het College Bescherming Persoonsgegevens in de wind zou slaan over een schuldendatabase was ik het dossier nooit gaan onderzoeken. Nu heb ik een ‘schot hagel’ moeten afvuren om helderheid te krijgen over waarom iedere Nederlander beschermd moet worden tegen overcreditering met een plan van niemand minder dan Dirk Scheringa.

Wat statistieken
In Nederland wordt niet gewobt. Gewoon niet. 1.200 Wobjes jaarlijks op landelijk niveau stelt niets voor. Het maakt duidelijk dat de Nederlandse onderzoeksjournalistiek in een crisis zit. Per hoofd van de bevolking wobben Amerikanen ruim zeventig maal zoveel. In Bulgarije zo’n 25 maal zoveel.

Nog wat getalletjes: in Engeland is er geen departement met minder dan vijftig Wob-ambtenaren, in Nederland geen één met meer dan vijf. Van de bijna 100 bezwaarschriften, die ik dit jaar schreef voor geweigerde informatie, werden er ruim 60 binnen twee weken zonder hoorzitting stilletjes gegrond verklaard zonder zitting.

Slomer dan Zimbabwe
Op 1 oktober werd de Wet openbaarheid van bestuur aangepast. Nu kunnen overheden met foefjes en trucjes het beantwoorden van verzoeken tot vijf maanden rekken met dank aan PvdA-minister Guusje ter Horst. Als ze besluiten te verstrekken, want de route met bezwaar duurt acht maanden. Samen met Zimbabwe hebben we dan ook de traagste toegang tot overheidsinformatie ter wereld. Dat in een tijd van digitalisering en ‘e-overheid’. Ter vergelijk: in Estland moet de overheid binnen 5 dagen antwoorden.

Wij zijn het achtste land dat een Wob kreeg. Als PvdA-boegbeeld Joop den Uyl de introductie niet tien jaar had vertraagd, hadden wij hoger gescoord. Dat je in Nederland brede vragen moet stellen (het beruchte ‘schot hagel’) komt door het systeem. De burger weet niet welke documenten er zijn. In ontwikkelde landen, zoals Noorwegen, kun je gewoon door documenten zoeken en per document een verzoek indienen. Dit jaar heb ik dat twaalf keer gedaan en dus heb je geen ‘schot hagel’ nodig, terwijl binnen een week alle wobjes waren beantwoord. PvdA-minister Guusje ter Horst weigert met de NVJ te praten over de Wob, zodat we dit punt nog steeds niet op tafel kunnen leggen.

Minder PvdA, minder Wobs!
De krokodillentranen van Pierre Heijnen roepen bij mij één emotie op: de irritatie van een old-school, regentesk bestuurder, die wel eventjes zal bepalen welke documenten een journalist wel of niet mag zien. Je snapt toch niet dat er een kloof tussen burger en politiek is. De waakhond van de democratie moet kennelijk verworden tot een soort schoothondje.

Ik wil een tegenvoorstel doen: als jullie met heel veel minder zetels in de Tweede Kamer terugkomen, komt er minder twijfelachtig beleid. Zou een zegen voor mijn kerndossiers als beveiliging en privacy zijn. Dan beloof ik jullie bestuurders – zo die er nog zijn – minder te bevragen. Daar is dan immers geen reden toe.

Sorry Pierre. Die vlieger gaat bij mij niet op. Ik ben het eerder met je partijgenoot Bram Peper eens, die juist tijdens de sessie verhaalde hoe belangrijk het is om feiten te checken. Dat doe je met documenten. En als je hebt opgelet zat hij heftig bevestigend te knikken toen ik jou van repliek diende.

Aan de slag
Ik vind wobben leuk, want ieder geopenbaard document is een overwinning op de achterkamertjes. Volgend jaar zullen er veel onderzoeken volgen. Nu tik ik – lekker lui – aan een Wobje over ACTA aan een buitenlandse overheid, want daar krijg je informatie wel. PvdA-staatssecretaris Heemskerk blijkt namelijk in achterkamertjes te onderhandelen over een verdrag waardoor met een beetje pech computergebruikende burgers straks zonder proces of bewijs aan Marokko kunnen worden uitgeleverd. Ik wil wel weten hoe dat zit als je het niet erg vindt…

Ik wil ICT-Ambassadeur worden (column)

De telefoon gaat. Het is Economische Zaken. “Brenno, wil je de komende twee jaar ict-ambassadeur van Nederland worden?”, vraagt Frank Heemskerk minzaam. Continue reading “Ik wil ICT-Ambassadeur worden (column)”

Reactie naar aanleiding van verloren Wob-zaak OV-Ambassadeur

Vandaag ontving ik de uitspraak in de rechtszaak tegen Jeltje van Nieuwenhoven, de OV-Ambassadeur, met het antwoord op de vraag of deze functionaris onder de Wet openbaarheid van bestuur (Wob) valt. Dat blijkt niet het geval, omdat zij niet is aan te merken als een bestuursorgaan. Was ze dat wel geweest dan had zij een Wob-verzoek moeten beantwoorden dat vroeg om de onderbouwing bij een rapport over de reiziger en de OV-chipkaart. In hoofdstuk 3 lijkt geen onderbouwing te zijn bij conclusies rond  privacy.

Uiteraard heb ik een reactie op de uitspraak: Continue reading “Reactie naar aanleiding van verloren Wob-zaak OV-Ambassadeur”