Saldo OV-chipkaart gemakkelijk te manipuleren

Het saldo op de OV-chipkaart is gemakkelijk te manipuleren, blijkt uit onderzoek van IT-onderzoeksjournalist Brenno de Winter en de NOS. Het enige wat nodig is, is een eenvoudig Windows-programma en een kaartlezer van dertig euro. Al weken reizen mensen met tien gemanipuleerde kaarten. Het blijkt dat conducteurs en de apparatuur van de stations niet kunnen zien dat het geld op de kaart niet echt is gestort.

In 2008 werd al bekend dat de ov-chipkaart gemakkelijk te kraken is. De beveiliging bestaat uit een ingewikkeld systeem van wachtwoorden, maar door een ontwerpfout is de chip gemakkelijk te kraken. In eerste instantie konden hackers dat doen, maar met het Windows-programma OVSaldo kunnen de gegevens op de kaart eenvoudig door iedereen gemanipuleerd worden. De Winter publiceerde de handleiding voor het kraken van de kaart in het magazine PCActive. (pdf handleiding)

Trans Link Systems, het bedrijf achter de OV-kaart, deed vrijdag al aangifte van de fraude. Dat is drie weken nadat de eerste gemanipuleerde kaarten werden gebruikt. Het bedrijf gaat er prat op dat zij gemanipuleerde kaarten altijd binnen 36 uur blokkeert. Toch is er van de tien kaarten, maar één geblokkeerd na negen dagen. De kaart werkt echter nog wel bij het inchecken in trams, bussen en metro’s. Het bedrijf zou bewust en in overleg met Justitie de andere kaarten niet geblokkeerd hebben, laat een woordvoerder weten.

De SP Tweede Kamerfractie heeft één van de kaarten in handen. Partijleden reisden al zo’n twee weken met de gemanipuleerde kaart. De partij is geschrokken van de eenvoud waarmee gefraudeerd kan worden met de kaart en is van plan, net als de PvdA, een spoeddebat aan te vragen. Ze willen niet dat de kaart verder wordt ingevoerd voordat er een veiligere chipkaart is waarmee niet gefraudeerd kan worden.

Proef met OV-chip als betaalpas
In Amersfoort loopt op dit moment een proef met de ov-chipkaart als betaalpas. De NS onderzoekt daar of de kaart ook gebruikt kan worden als betaalpas in winkels op het station. Met de pas kan betaald worden in de kiosk, een snackbar, een broodjeszaak en een fastfoodketen. Ongeveer vijfhonderd medewerkers van het bedrijf achter de ov-chip,Trans Link Systems,  doen hieraan mee. De proef loopt tot april. Wel zal De Nederlandsche Bank toestemming moeten geven om de chipkaart als betaalmiddel in winkels te gebruiken.

Op 5 januari vertelde NRC-redacteur Lolke van der Heide nog dat de proef van de NS in Amersfoort getuigde van vertrouwen in de fraudegevoeligheid van de kaart. Nu lijkt dat vertrouwen misplaatst te zijn.

“Het reizen met de ov-chipkaart werkt goed. Sinds de invoering van de kaart hebben er weinig storingen plaatsgevonden. Wat betreft de fraudegevoeligheid is het zo dat elke kaart in principe te hacken is. Maar dat de NS en TLS (ov-chipkaartbedrijf red.) de stap maken om de kaart als betaalmiddel in te zetten getuigt van vertrouwen.”