Afgelopen maandag heeft RTV Rijmond in de metro gereisd op een anonieme OV-chipkaart, waarvan het saldo met hulp van de Radboud Universiteit Nijmegen kunstmatig was verhoogd. Dinsdag en vandaag bleek de kaart niet geblokkeerd en was gewoon in het openbaar vervoer te gebruiken.

Tegen afspraken

Eerder werd nog beweerd dat de chip weliswaar gekraakt is, maar dat de back-officesystemen van Trans Link Systems (TLS), de gegevensverwerker, dat zouden detecteren. Onder die voorwaarden ging de Tweede Kamer uiteindelijk ook akkoord.

De stap komt niet helemaal als een verrassing, want twee weken geleden beweerde Bart Jacobs, hoogleraar computerbeveiliging bij de Radboud Universiteit Nijmegen nog dat de kaart een 'open portemonnee' is.

Crimineel misbruik op grote schaal

"Ik ben een early adopter van de OV-chipkaart en vind het een geweldig systeem als het allemaal goed werkt", zegt Jacco van Giessen, redacteur/verslaggever bij RTV Rijnmond die de test uitvoerde. "Maar dit vind ik toch wel shocking."

Van Giessen erkent dat het in theorie allemaal al bekend is, maar had zelf niet verwacht dat het zo gemakkelijk zou werken. "Dit maakt duidelijk dat het een goedkope kaart is in alle betekenissen van het woord. Er is niet nagedacht hoe dit te beveiligen."

De verslaggever vreest dat crimineel misbruik op een redelijk grote schaal mogelijk is. Hij vreest ook dat de universiteit gelijk heeft dat het binnenkort ook mogelijk is om kaarten in het openbaar vervoer te klonen en dat onschuldige reizigers hiervan het slachtoffer worden.

Falende verdedigingslijn

Voor professor Jacobs is het allemaal geen verrassing dat het zo eenvoudig gaat: "Het verhaal spreekt voor zich. Wij hebben vanaf het begin gezegd dat de kaart kapot is."

Hij wijst erop dat juist het gebruiken van de back-office de nieuwe verdedigingslijn is. "Dat werkt als een firewall of virusscanner die werkt met bepaalde regels", stelt hij. "Deze zat er kennelijk nog niet in of zat er wel in maar dat werkte niet adequaat."

Voor hem is het duidelijk dat dit scenario ontbreekt en als deze wel wordt gedetecteerd er een volgend scenario zal komen. Hij benadrukt dat detectie lastig kan zijn, omdat het controleren van transacties 's nachts een rekenintensief proces is en achter de feiten aan loopt. "Je bent altijd reactief met zo'n fraudedetectie functionaliteit."

Vol vertrouwen

Vanf morgen is de OV-chipkaart het enige betaalmiddel in de Rotterdamse metro. Het vervoersbedrijf RET ziet dat nog steeds met vertrouwen tegemoet. Het bedrijf blijft bij de bewering dat kaarten uiterlijk binnen 36 uur worden geblokkeerd. Daarbij verzekert de vervoerder dat de klanten hiervan geen financieel nadeel zullen ondervinden. Ook wijst het bedrijf erop dat dit soort fraude in het Fraude Beheersingsplan zijn opgenomen. Webwereld heeft echter via meerdere wegen geprobeerd inzage te krijgen. De RET weigert dat en noch de stadsregio Rotterdam noch het Ministerie van Verkeer en Waterstaat kennen de inhoud van dit plan.

De vervoerder stelt op deze situatie te zijn voorbereid en stelt: "De nu uitgevoerde manipulatie is vergelijkbaar met het illegaal kopiëren van bijvoorbeeld een strippenkaart en een misdrijf (valsheid in geschriften) volgens het wetboek van strafrecht. Hierover zijn afspraken gemaakt met het Openbaar Ministerie."

Toch wel gedetecteerd?

UPDATE: In een reactie stelt Trans Link Systems dat de bonafide reiziger geen financieel nadeel lijdt van dit soort fraude. "De mogelijkheid tot een dergelijk misbruik is al enige tijd bekend en maakt onderdeel uit van de maatregelen die staan genoemd in het fraudebeheersingsplan", stelt zegsvrouw Jannemieke Zandee. "In dit plan is aangegeven dat we, zeker in deze fase van het project, extra zorgvuldig zullen zijn met het blokkeren van kaarten omdat wij niet ten onrechte bonafide gebruikers willen duperen."

In een gemeenschappelijke verklaring naar aanleiding van de kwestie stellen RET en TLS: "De OV-chipkaart backoffice [heeft] op 27 januari op een anonieme kaart bij RET een afwijking geconstateerd, te weten een ongeautoriseerde saldoverhoging van 1 eurocent. Deze manipulatie is op 26 januari uitgevoerd. Omdat dit een afwijking van 1 eurocent betrof wilden wij, alvorens de kaart voor een dergelijk bedrag te blokkeren, uitsluiten dat dit een systeemfout betrof. De hoogte van het bedrag doet immers niet direct denken aan fraude. Dit geval is dan ook, vanuit oogpunt van voorzichtigheid, in onderzoek genomen. Inmiddels is de betreffende kaart op de blokkeringslijst gezet."