Basic-Fit-hackers weten dat u nooit naar de sportschool gaat

Die GS-grap over “je gaat toch nooit” is leuk voor de likes, maar het echte verhaal is dat zo’n keten je hele leven in een database propt en vervolgens niet eens basis-security op orde heeft. Enerzijds is een sportschoolabonnement inderdaad vaak aspiratie (status, routine, “morgen begin ik”), anderzijds is dat precies waarom dit lek zo smerig is: mensen leveren data in voor een laagdrempelige dienst en krijgen er identiteitsfraude-risico voor terug. En dan ook nog bank/kaartinfo soms… kom op, dat is geen fitness meer maar een verdienmodel op data, data, data. Benieuwd of ze straks weer met “we nemen privacy serieus” komen terwijl de boete gewoon wordt ingecalculeerd als bedrijfskosten.

Die “je gaat toch nooit” grap is leuk, maar het engste is dat zo’n keten dus precies kan zien wannéér je wél gaat, op welke locatie en hoe vaak, en dat lekt dan mee via accounts/logs/whatever. Dat is stalkingmateriaal + perfecte phishing (“we zagen dat je gisteren in Utrecht was, bevestig je betaling even”) en Basic-Fit gaat natuurlijk weer doen alsof het alleen om wat mailadressen ging… echt, dit is weer zo’n bedrijf dat z’n digitale ecosysteem verwaarloost tot de biodiversiteit aan datalekken je om de oren vliegt.

Die “je gaat toch nooit” grap is leuk, maar waar ik vooral m’n wenkbrauw van optrek: als er ook betaalkaart/IBAN rondzwerft, dan heeft iemand intern gewoon z’n bewaartermijnen en afscherming niet op orde. En dan krijg je straks weer het standaard riedeltje “we hebben het gemeld bij de AP” ja prima, maar intussen mag jij als lid je bankpas vervangen en maanden opletten op phishing omdat een keten z’n IT als bijzaak behandelt. dat is dus het vervelende: jij kunt wél stoppen met sporten, maar je data stopt niet met rondzwerven.

die hele “je gaat toch nooit” grap is leuk voor GeenStijl, maar het echte probleem is dat zulke ketens alles centraliseren en outsourcen alsof het om een paar loopbanden gaat, terwijl je in de praktijk één groot IT-bureaucratie krijgt met apps, toegangspoortjes, incasso’s, marketingpartners en weet ik wat, en dan is het wachten tot er ergens een admin-account openstaat. In mijn tijd bij de KLM moest je voor een pasje en een systeemtoegang door tien hoepels springen en werd er gelogd en gecontroleerd, hier lijkt het motto eerder: zoveel mogelijk leden binnenhalen en de rest is “later wel”, tot jij ineens je geboortedatum en adres terugziet op een forum. En nog iets: stop eens met dat gemakzuchtige “AP gemeld” en “we adviseren alert te zijn”, geef mensen gewoon gratis een jaar credit-monitoring en automatisch een nieuw lidnummer/pas, want de schade ligt weer lekker bij de klant hè.

Ach bij Basic-Fit kun je niet eens fatsoenlijk opzeggen zonder app/klantenservice-ellende, dus als ze je data ook al niet kunnen beveiligen zou ik zeggen: cash betalen en een nep mailtje, klaar