“Dat hebben we samen met de NS gedaan”, vertelt een woordvoerster van ov-chipkaartmaker Trans Link Systems aan Webwereld. Zij legt uit dat het hoe dan ook standaardprocedure is van het bedrijf om dergelijke software én hackinghandleidingen offline te laten halen. “Publicatie daarvan is strafbaar”, stelt zij.

DMCA-formulier

Blogsite Wordpress heeft een formulier online klaar staan om ongewenste content, zoals illegale waar, aan te melden. “Dat speciale formulier hebben we gisteravond ingevuld”, waarna het blog in kwestie vrij snel is verwijderd. Gisteravond rond half tien meldt user Kipje op het OV-chipkaartforum dat zijn blog offline is. Wordpress heeft nog niet gereageerd op vragen van Webwereld over de inwilliging van de verwijderingseis van TLS en NS.

Een woordvoerder van de NS bevestigt de samenwerking met TLS. Hoe dat contact is gelegd en hoe de te volgen procedure is bepaald, wil hij niet toelichten. “Dat is onder de motorkap, en minder belangrijk”, antwoordt hij. “We hebben niet de illusie dat we het hiermee geheel offline kunnen krijgen. Maar we willen hiermee duidelijk maken aan iedereen die het wil horen dat dit niet mag.”

Warez

“Het gaat erom dat hier de ‘terms of service’ van Wordpress zijn geschonden.” De NS-woordvoerder legt uit dat de voorwaardenschending bestaat uit het aanbieden van zogeheten warez. Dat is in strijd met de voorwaarden die Wordpress stelt voor de blogs die het host op zijn .com-domein. Blogs op Wordpress.org draaien op servers elders, niet bij Wordpress-aanbieder Automattic.

Terwijl het blog zelf offline is gehaald, valt de daar geposte downloadlink (ingekort via url-dienst Bit.ly) nog gewoon te vinden via Google. Dat gebeurt dan niet eens met de bekende cache-functie van de zoekgigant, maar direct bij de samenvatting van de zoekresultaten. Het zip-bestand met de tool staat nog bij online opslagdienst Dropbox.

Malware-risico

De OV-chiphacksoftware is ook elders her en der op internet te downloaden. “Het staat nu ook op een Oekraïense server”, bevestigt de NS-woordvoerder. “Maar de servers in die ip-reeks staan ook bekend om exploits.” Hij waarschuwt nieuwsgierigen dan ook dat software daar vandaan wel eens ongewenste zaken in zich kan dragen.

Over het aanpakken van die Oekraïense servers is nog geen beslissing genomen. Dat is volgens de NS-woordvoerder misschien wel mogelijk, maar de vraag is of de daarvoor benodigde energie het wel waard is. “Dat is een hypothetische kwestie”, antwoordt hij.

“We geven nu een duidelijk teken dat we alert zijn, dat we er bovenop zitten. We laten dit niet verspreiden via bona fide lijkende kanalen. Dit is illegaal en we dringen dat nu terug in de illegaliteit.” Hij herhaalt de mededeling van gisteravond dat de NS en TLS samenwerken om de pakkans zo groot mogelijk te maken.

Werkt niet?

Ondertussen is er ook twijfel aan de werking van de nu uitgelekte OV-chiphacksoftware. Het programma, voor Windows, zou niet werken. Onduidelijk is of dat alleen de oorspronkelijke of de later nog bijgewerkte versie van de hacktool betreft. OV Kipje heeft online al wel gemeld dat 1.0 een fout had in de oplaadfunctie en dat dit in 1.1 is opgelost.

Uit forumposts valt op te maken dat ook die recentere versie niet geheel functioneel is. De programmacode mist nog wat en is waarschijnlijk ongetest, merkt AnonOV op. Die gebruiker was voor het uitlekken door OV Kipje al bezig de tool te verbeteren. Diverse andere hackers werken mee.