Dat bleek tijdens het weken durende onderzoek van Webwereld. Naast het uitlezen en overschrijven van de OV-chipkaart met andere data was het al mogelijk het saldo op de kaart aan te passen. Nu komt daar de mogelijkheid bij om niet meer te hoeven inchecken bij een poortje of paal, zodat er geen registratie nodig is. De fraude is dan niet te detecteren.

Zonder registratie

Het OV-chipsysteem is zo ingericht dat reizigers zich aanmelden (inchecken) bij een poortje of paal en dat die registratie bij gegevensverwerker Trans Link Systems (TLS) wordt aangemeld. Op die manier komt een transactie in de systemen terecht en kan afwijkend gedrag worden gedetecteerd.

Maar dankzij een scenario van hacker atdt112 en een applicatie van hacker LogicAnalyz3r is het nu mogelijk om zelf op de eigen computer een check-in te regelen. De gebruiker voert op zijn pc een station van ‘inchecken’, datum en tijd in voor een treinreis. Daarna worden die gegevens op de kaart geladen en lijkt het dat de reiziger klaar is voor de reis. Iedere conducteur krijgt op zijn apparaat de juiste informatie, zodat het lijkt alsof er voor de reis is betaald.

Geen fraudedetectie

Omdat het poortje of de paal volledig wordt genegeerd mist TLS informatie om fraude überhaupt op te merken. Ook hoeft er geen saldo aanwezig te zijn, omdat voor deze vorm van reizen met de OV-chipkaart geen administratie meer wordt gevoerd.

Juridisch is het nu ingewikkelder om aan te geven wie het slachtoffer is. Bij een daadwerkelijke incheck bij een poortje of paal gaat er geld van TLS naar de vervoersbedrijven. Maar een niet-ingecheckte kaart schept ook geen financiële verplichting. Dus is het vervoersbedrijf gedupeerd, niet TLS. Het bedrijf achter de OV-chipkaart ontdekt deze fraude helemaal niet en voor het vervoersbedrijf is het met de huidige controle-apparatuur ook onmogelijk te detecteren.

Al een week ongezien

Webwereld heeft de hack al ruim een week uitgeprobeerd. Daarbij heeft geen enkele conducteur ook maar een moment iets vermoedde. Eén keer maakte een conducteur een opmerking dat het na negen uur voordeliger is om te reizen op een Zoutkaartje (dat de NS verstrekt om te compenseren voor het strooizouttekort van Rijkswaterstaat voor de Nederlandse snelwegen). Dat aparte treinkaartje geeft namelijk "maar liefst 40 procent korting".

Zelfs een kaart die voor vertrek geweigerd wordt door de automaat (omdat hij geblokkeerd is), valt te gebruiken. Na het draaien van de incheck-tool wordt de conducteur niet gealarmeerd over het feit dat de kaart als geblokkeerd te boek staat. De blokkade-status van de kaart staat namelijk in de informatie die met de hack wordt overschreven. Ook TLS merkt hier niets van, omdat het op geen enkel moment wordt betrokken bij wat er gebeurt. Het bedrijf krijgt dus geen informatie over het echte gebruik van de geblokkeerde kaart.

Wel moet gezegd worden dat de incheck-tools alleen voor Windows bestaan. De software werkt eenvoudig, omdat het een .NET-applicatie betreft waarvoor geen installatiekennis nodig is. Voor de SP is de maat vol en moet er een spoeddebat komen. De politieke partij voorziet het failliet van de OV-chipkaart.

'Mag niet'

TLS wijst er op dat rommelen met de kaarten niet mag. In tv-programma Nieuwsuur reageert financieel directeur Gerben Nelemans op deze nieuwste OV-chiphack met de vraag: "Het is verboden dus waarom zou iemand dat doen?"