'Ov-chipkaart eenvoudig uitleesbaar'

Onderzoeksjournalist Brenno de Winter haalde van de website ov-chipkaart.org (niet te verwarren met de officiële site ov-chipkaart.nl van de vervoerbedrijven) de nodige informatie. Hij stelde vast “dat het uitlezen en analyseren van de chipkaart eigenlijk heel eenvoudig is”.

Nodig: rfid-lezer en Ubuntu
Bij de methode wordt een goedkope rfid-lezer gebruikt die bij diverse webwinkels te koop is. Een ander stuk gereedschap dat bij de ‘kraak’ is ingezet is Ubuntu, een Linux-distributie. “Zo kan iedereen zien wat de vervoersbedrijven allemaal aan gegevens van de gebruikers opslaan”, aldus de redactie van PC Active in een persbericht. “Wat er verder mogelijk is met de gratis software en € 30 aan hardware, laten we graag over aan de fantasie van Trans Link Systems en onze lezers.”

Informatie tijdelijk verwijderd
De informatie op ov-chipkaart.org was op last van Trans Link Systems (TLS), het bedrijf dat de chipkaart namens de vervoerbedrijven exploiteert, enige tijd verwijderd. Inmiddels is de handleiding weer toegankelijk. De makers van de site vermelden onder het motto 'Doe het zelf' met nadruk dat zij gebruikers niet willen aanzetten tot illegaal gebruik van de informatie, bijvoorbeeld om gratis te reizen, maar alleen willen laten zien hoe men de eigen informatie op de kaart kan bekijken. Dat is wel legaal.

Kraken kan, maar gebeurt (nog) niet
Dat de beveiliging van de ov-chipkaart met MiFare Classic-chip relatief eenvoudig kan worden gekraakt, is al enkele jaren bekend. In de Tweede Kamer zijn daarover indertijd hoorzittingen gehouden naar aanleiding van publicaties door hackers. De minister van Verkeer en Waterstaat liet door externe (Britse) deskundigen een rapport opstellen. Zij adviseerden op termijn op een chip met zwaardere beveiliging over te stappen. Van grootschalig misbruik van de ov-chipkaart is tot dusver niets gebleken.