‘OV-chipkaart eenvoudig gekraakt met smartphone en chip’

De OV-chipkaart kan eenvoudig gekraakt worden met een smartphone en een goedkope chip. Dat stellen onderzoeksbureau ITDev Solutions en reizigersorganisatie TotalOV vandaag in De Telegraaf. Trans Link Systems, verantwoordelijk voor de kaart, wil met de partijen om de tafel om de beveiliging te verbeteren.

OV-chippoortjes op het station van Leiden. Foto NRC / Rien Zilvold

De OV-chipkaart kan eenvoudig gekraakt worden met een smartphone en een goedkope chip. Dat stellen onderzoeksbureau ITDev Solutions en reizigersorganisatie TotalOV vandaag in De Telegraaf.

Alles wat ervoor nodig is om gratis te kunnen reizen zou een Android-smartphone zijn van de nieuwste generatie, twee gratis apps en een zogenoemde NFC-sticker, een soort chip die draadloos informatie kan versturen. Als mensen deze op hun OV-chipkaart plakken, wordt de sticker, en niet de kaart zelf, gescand. Gps op de telefoon wordt gebruikt om de juiste locatie aan de sticker door te geven. Volgens de twee partijen zou het ook mogelijk zijn het saldo op de chipkaart te verhogen, maar daar zijn nog geen apps voor. Ze zeggen dat deze kraakmethode moeilijk te traceren is, omdat de conducteur gewoon ziet dat je ingecheckt bent.

Trans Link Systems, verantwoordelijk voor de OV-chipkaart, was niet eerder op de hoogte van deze theorie, maar wil wel graag om de tafel met beide partijen:

“Wellicht kunnen we samen de beveiliging verbeteren.”

Update 11.00: Trans Link Systems laat vanochtend in een reactie weten dat de kraak “een theorie” is. ITDev Solutions en TotalOV voerden gisteren een eerste gesprek met het bedrijf, waarin zij volgens Trans Link Systems zeiden dat “het fraudescenario in de praktijk nog niet mogelijk is”. Het bedrijf wil nog steeds om de tafel om “van gedachten te wisselen” over een mogelijke toepassing in de praktijk.

Al meerdere keren beveiligingsproblemen

De ontdekking van ITDev Solutions en TotalOV legt wederom het beveiligingsproblemen bloot waarmee de OV-chipkaart al sinds de invoering kampt. Zo werd in 2008 de kaart al eens gekraakt met een alledaagse laptop. Gegevens van de kaart waren gemakkelijk te kopiëren. Dit zou tot grootschalig misbruik kunnen leiden, werd toen gezegd. De politiek uitte felle kritiek.

In 2011 toonde onderzoeksjournalist Brenno de Winter ook aan dat er fundamentele lekken zaten in de OV-chipkaart. Vanaf december het jaar ervoor reisde De Winter en SP-Kamerleden met gemanipuleerde OV-chipkaarten. Het bleek dat conducteurs en de apparatuur van de stations niet konden zien dat het geld op de kaart niet echt gestort was. Trans Link Systems deed toen aangifte van fraude tegen De Winter, maar de zaak werd geseponeerd. Hetzelfde jaar rustte Trans Link Systems nieuwe OV-chipkaarten uit met een chip die veel moeilijker te kraken zou zijn.

    • Frank Huiskamp