Openbaar vervoer

‘OV-chipkaart is nog altijd kwetsbaar voor fraude’

De OV-chipkaart is nog steeds gevoelig voor de hack van twee IT’ers uit 2017. Dat zeggen de vorige maand veroordeelde daders, Max Knobbout en Anne Cuperus, in gesprek met NRC. Het tweetal maakte met gekraakte anonieme OV-kaarten vanaf 2015 anderhalf jaar lang gratis gebruik van het openbaar vervoer.

Trans Link Systems – verantwoordelijk voor de kaarten – bevestigt dat de OV-kaarten kwetsbaar zijn, maar zegt dankzij „aanvullende maatregelen” voldoende grip op eventuele fraude te hebben. Volgens een woordvoerder blijft misbruik tot „ nog geen tientallen” gevallen beperkt. Met een zelf geschreven computerprogramma slaagden data-analist Cuperus en Knobbout – gepromoveerd informaticus – er in 2015 in om het saldo op de kaarten zelf te verhogen. Translink kan die vorm van fraude pas achteraf, als de balans opgemaakt wordt, detecteren, zegt het tweetal. Tot de kaarten geblokkeerd werden, konden ze vrij reizen.

Volgens IT-expert Brenno de Winter, die in 2011 een lek in de OV-kaart blootlegde, is het systeem inderdaad kwetsbaar, maar is van „onbeheersbare risico’s” geen sprake. Ook hoogleraar computerbeveiliging Bart Jacobs (Radboud Universiteit), die in 2008 een kwetsbaarheid in de OV-kaart aantoonde, zegt dat het opsporingsbeleid van Translink effectief is en het ontstaan van een „grootschalige businessmodel voor fraude” voorkomen heeft.

De overheid wil de techniek achter de OV-chipkaart in 2023 kunnen uitschakelen. Als het reissaldo dan niet langer op de kaart bijgehouden wordt, is de hack van Cuperus en Knobbout niet meer mogelijk. Het tweetal waarschuwt dat fraude met de anonieme OV-kaarten tot die tijd niet uit te sluiten valt. Knobbout: „Het was nooit onze intentie, maar stel je voor dat iemand zo’n programma online zou zetten. Dan open je de doos van Pandora.”

OV-chipkaartfraude pagina E8-9