Hoe twee IT’ers anderhalf jaar gratis konden treinen na geslaagde hack

OV-chipkaartfraude Twee IT’ers kraakten de ov-chipkaart en werden – uiteindelijk – gepakt en veroordeeld. Maar ze legden wel de kwetsbaarheid van het systeem bloot. Voor de twee collega’s was het „een avondprojectje”.

Het systeem van ov-kaarten werd na de introductie geplaagd door kwetsbaarheden.
Het systeem van ov-kaarten werd na de introductie geplaagd door kwetsbaarheden. Foto Robin van Lonkhuijsen/ANP

De twee jeugdvrienden en IT’ers Anne Cuperus en Max Knobbout hadden in 2015 een „klein gevoel van euforie” toen ze eindelijk met hun gekraakte OV-chipkaart de incheckpoortjes op station Utrecht Centraal passeerden. „De puzzel was opgelost, het was gelukt”, zegt de 33-jarige Cuperus. „Maar daar had het bij moeten blijven.”

In plaats van de kwetsbaarheid te melden bij Translink, verantwoordelijk voor het beheer van de OV-kaarten en de transacties, reisden de twee collega’s na de succesvolle hack anderhalf jaar lang voor nop van Alkmaar naar Utrecht en terug. Eind 2017 maakte de politie een eind aan de fraude en vorige maand werd het tweetal veroordeeld voor computervredebreuk. Ze kregen een taakstraf van 120 uur en moeten een schadevergoeding betalen van bijna 15.000 euro.

„Het begon uit interesse”, vertelt de 33-jarige Cuperus, inmiddels gepromoveerd als psycholoog, drie weken na het vonnis in een koffiezaak in Utrecht. In 2015 werkte hij met Knobbout, een gepromoveerd informaticus, als data-analist bij een IT-bedrijf in Alkmaar. Ze volgden de ontwikkelingen rond de OV-chipkaart, die na de introductie in 2008 te kampen had met beveiligingsproblemen. „Toen de verbeterde OV-chipkaart in 2015 uitkwam en Translink riep dat die niet meer te kraken was, wilden we daar wel eens naar kijken”, zegt Cuperus. „Een avondprojectje”, noemt hij het. „Een uitdaging.” Knobbout: „Dingen kapot maken, is in de IT-wereld onderdeel van het werk. Kijken of het breekt als je er tegenaan trapt.”

De kaart kraken, was promovendus Carlo Meijer van de Radboud Universiteit eerder dat jaar al gelukt. Knobbout en Cuperus gingen er daadwerkelijk mee reizen. Knobbout: „Wat wij extra deden, was de gemanipuleerde data zó terugschrijven dat de kaart volledig wordt geaccepteerd door het incheckpaaltje.” Dit alles vanuit hun studeerkamer, op hun eigen computer en een kaartlezer, online gekocht. Saldo opladen ging thuis sneller dan op het station, zei Knobbout tijdens de rechtszaak.

In talloze avonduren schreven ze aan software die de inhoud op de kaart kon manipuleren. Het volledige communicatieprotocol tussen paaltje en pas werd proefondervindelijk gereconstrueerd, zegt Knobbout: „We hebben al die nullen en eentjes op de kaart uitgelezen en gekoppeld aan transacties, abonnementen, ophogingen.” Cuperus: „We laadden bijvoorbeeld een OV-pas met een euro op en gingen naar huis om de data op de kaart uit te lezen en te kijken wat er veranderd was.”

Lees ook: Zo gijzel je een netwerk in 12 stappen.

Anonieme prepaidkaarten

De hack speelde in op een kwetsbaarheid diep in het huidige OV-chipkaartsysteem, zegt het tweetal. In beginsel vertrouwt het systeem de kaarten en controleert periodiek of er saldo op is gezet en of er dus is betaald voor de reis. Aan deze kwetsbaarheid is volgens de hackers niets veranderd. Ze twijfelen er niet aan dat misbruik nog steeds mogelijk is. Volgens hoogleraar Computerbeveiliging Bart Jacobs (Radboud Universiteit) zijn de anonieme prepaidkaarten waar je zelf geld op kan zetten het kwetsbaarst. Al in 2008 constateerde Jacobs dat de beveiliging van de chip op de kaart zwak was. Carlo Meijer, die de chip zeven jaar later ondanks verbeteringen opnieuw kraakte, was zijn promovendus.

Ook de onderzoekers verhoogden ooit het saldo op de kaart, met één eurocent, zegt Jacobs. „Strikt genomen fraude, maar wij deden het eenmalig, als experiment, om erachter te komen hoe snel Translink dat detecteert. Ze zeggen onmiddellijk, maar dat is niet zo. Het duurde drie tot vier dagen voor ze de kaart blokkeerden.”

Zolang de kaarten niet opgespoord en uitgeschakeld zijn, kan ermee gereisd worden. Dat blokkeren gaat handmatig, vermoedt Knobbout: „In het begin blokkeerde Translink onze kaarten helemaal niet, maar op een gegeven moment ontdekten ze dat er op het traject tussen Alkmaar en Utrecht iets gebeurde.” Hun gekraakte kaarten werden opeens bij de poortjes geweigerd, soms na een week, soms na twee. Daarom hadden ze meerdere kaarten bij zich. Cuperus: „Dan gooiden we de geblokkeerde kaart in de prullenbak en pakten een andere.” Omdat ze de kaarten contant betaalden bij de stationskiosk liep het spoor lange tijd dood.

Het bespaarde geld was voor de hackers ‘een leuke bijzaak’. De kick speelde een grotere rol

Pas als de politie na aangifte camerabeelden naast de reisgegevens van de gekraakte kaarten legt, komen Cuperus en Knobbout in beeld. In november 2017 worden ze vanaf het station gevolgd en aangehouden. Translink wilde als benadeelde partij in de rechtszaal bijna 70.000 euro van hen zien. Het bedrijf denkt dat meer mensen van de gekraakte kaarten gebruik hebben gemaakt. Maar de schadeberekening van Translink bevatte volgens de rechter „een aantal fouten” en miste helderheid. Uiteindelijk kwam de rechter na een eigen berekening op basis van het woonwerkverkeer van Cuperus en Knobbout tot een schadebedrag van 15.000 euro.

Het bespaarde geld was volgens Cuperus „een leuke bijzaak”. Gemak en de kick van steeds niet gepakt worden, speelden een grotere rol. Knobbout: „Het was ook een beetje arrogantie, achteraf gezien natuurlijk hartstikke dom.” Cuperus: „We zijn er niet rijk van geworden.” En op het strafblad zaten ze niet te wachten.

Lees ook: ‘Wij hebben hackers harder nodig dan zij ons’

Translink erkent dat het systeem een kwetsbaarheid bevat. „De technologie is verouderd en beperkt wat we kunnen doen. Daarom nemen we aanvullende maatregelen. Dat werkt.” Het bedrijf zegt daardoor grip te hebben op de fraude. De woordvoerder zegt dat er „nog geen tientallen” gevallen van fraude hebben plaatsgevonden. Ook hoogleraar Jacobs denkt dat die aanpak succesvol is. „Mede door het opsporen en blokkeren van kaarten is er geen grootschalig businessmodel voor fraude. Het blijven incidentele kwajongensstreken. Hackers die aan het klooien zijn en de wetenschappelijke literatuur lezen.”

Verouderde techniek

In 2023 wil de overheid de verouderde techniek achter de OV-kaart uitschakelen, schreef staatssecretaris Stientje van Veldhoven (Infrastructuur en Waterstaat, D66) vorig jaar aan de Tweede Kamer. „Het is een duur systeem waarvan de technische ondersteuning in de toekomst onzeker is en draait op een eigen standaard, waardoor andere betaalmiddelen (zoals een bankpas) dan de OV-chipkaart niet gebruikt kunnen worden.” Reissaldo staat straks niet langer op de OV-kaart, maar in een centrale database en wordt niet meer periodiek geverifieerd, maar ogenblikkelijk. De hack van Cuperus en Knobbout is dan niet meer mogelijk. „Dan zijn we niet meer card based, maar loopt alles via de cloud”, zegt de woordvoerder van Translink.

Het huidige systeem helemaal beschermen tegen zo’n aanval, is een enorme operatie, zegt Jacobs. „Het is voor Translink een risico-inschatting. Niet alleen moet je iedere gebruiker een nieuwe kaart opsturen. Wellicht moet je ook alle kaartlezers aanpassen.” Daarvan staan er zo’n 65.000 in trams, bussen en op stations. „Het is een interessante constatering dat Translink het met uitzweten gered heeft.”

Knobbout en Cuperus hebben nog wel ideeën hoe het systeem verbeterd kan worden, zonder alle paaltjes te vervangen. Translink wilde echter niet met de twee in gesprek. Dat steekt. Knobbout: „We hadden Translink willen helpen. Ik weet zeker dat we dingen hadden kunnen doen voor ze.” Voor Translink is het een principekwestie. „We zijn niet met ze in gesprek gegaan, want deze mensen hebben een strafbaar feit gepleegd”, laat het bedrijf weten.

Pandora’s doos

Het OV-kaartensysteem werd na de introductie geplaagd door kwetsbaarheden. In 2011 toonde IT-expert Brenno de Winter, destijds onderzoeksjournalist, aan dat de kaart eenvoudig te manipuleren is. Hij denkt ook dat het huidige systeem kwetsbaar is. Maar van onbeheersbare risico’s is volgens De Winter geen sprake. „Nu Translink deze fraude kent, kunnen ze deze vorm ook detecteren.” Het bedrijf leerde veel van de hack in 2011, zegt De Winter. „Als zulke fraudesoftware op internet verschijnt is het een ander verhaal.” Dan zou er op grote schaal fraude plaatsvinden.

Dat horrorscenario lijkt uitgebleven te zijn. Maar het valt niet uit te sluiten dat het in de toekomt wel bewaarheid wordt, zegt Knobbout. „Het was nooit onze intentie, maar stel je voor dat iemand zo’n programma wél online zou zetten. Dan is de doos van Pandora geopend. Dat kan je het helemaal niet meer bijhouden met volgen en passen blokkeren.”

Correctie (11 juli 2020): In een eerdere versie van dit artikel stond dat Stientje van Veldhoven lid is van de VVD. Dat moet D66 zijn en is nu aangepast.