Gratis wifi in treinen NS onveilig

Criminelen kunnen in de trein kinderlijk eenvoudig creditcardgegevens en andere privacygevoelige informatie onderscheppen van reizigers die gebruik maken van het gratis wifi-netwerk van de NS. Het spoorbedrijf heeft er bewust voor gekozen om reizende internetters op geen enkele manier te beschermen tegen cybercriminelen.

Beeld anp

Dit blijkt uit onderzoek van Hannes Mühleisen van het Centrum Wiskunde & Informatica (CWI) in Amsterdam. Mühleisen stuitte per toeval op het beveiligingslek, toen hij aan de keukentafel van zijn woonboot nabij station Amsterdam Centraal een seconde of twintig bleek te kunnen 'luisteren' met het internetverkeer in een passerende intercity. Uit pure nieuwsgierigheid installeerde Mühleisen gedurende vijf maanden twee wifi-antennes in zijn keuken. 'Tot mijn verbazing kon ik al het internetverkeer van reizigers die gebruik maken van het netwerk van de NS in passerende treinen onderscheppen.'

Mühleisen benadrukt dat je geen expert hoeft te zijn om het internetverkeer van treinreizigers af te tappen. 'De antennes die ik heb gebruikt kosten nog geen dertig euro per stuk en als je een beetje zoekt op internet kun je precies vinden hoe je de informatie kunt onderscheppen en misbruiken.'

De computerwetenschapper kon precies zien welke websites treinreizigers bezoeken en welke applicaties ze gebruiken. Als hij had gewild had de geboren Duitsers ook e-mails kunnen meelezen en creditcardgegevens kunnen buitmaken. Mühleisen: 'Ik heb er bewust voor gekozen geen privacygevoelige gegevens op te slaan, maar het is kinderlijk eenvoudig om een filter te installeren dat expliciet zoekt naar de creditcardgegevens die worden verzonden via het wifi-netwerk van de NS.'

Mühleisen heeft de NS bij herhaling gewezen op zijn bevindingen, maar nooit een reactie ontvangen. Pas nadat de computerwetenschapper zijn bevindingen donderdag publiceerde op website De Correspondent, stelde het spoorbedrijf in een persreactie bewust te hebben gekozen het netwerk in de treinen niet te beveiligen.

'We willen reizigers zo laagdrempelig mogelijk toegang bieden tot het internet in onze treinen', aldus een woordvoerder van de NS. Als de NS het netwerk zou beveiligen, zouden reizigers zich eenmalig moeten registreren en inloggen via een wachtwoord. Het spoorbedrijf benadrukt internetters in de trein wel te waarschuwen voor de risico's. 'We raden reizigers af creditcardgegevens in te voeren via ons wifi-netwerk.'

Mühleisen vindt de waarschuwing onvoldoende. 'De NS is met zijn wifi-netwerk in de treinen en op de stations een van de grootste internetproviders in het land. Dan heb je ook een verantwoordelijkheid om je klanten te beschermen tegen cybercriminelen.'

Reizigers die in de trein gebruik maken van het mobiele 3g of 4g netwerk van hun telefoonprovider, kunnen wel veilig gebruik maken van het internet in de trein. Mühleisen: 'Als reizigers via een eigen beveiligde VPN-verbinding inloggen op het gratis netwerk van de NS, kan ik hun internetverkeer evenmin onderscheppen.'

Beeld anp
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden