Roel Verduldt, een student aan de Radboud Universiteit Nijmegen, is erin geslaagd een ongeautoriseerde kopie van de ov-chipkaart te maken, zo demonstreerde hij voor RTL Nieuws op maandag.

"Het lijkt erop dat de beveiliging van het ov-chip project onvoldoende is voor een kritieke infrastructuur zoals het openbaar vervoer in Nederland," concludeert Verduldt in een onderzoeksrapport (pdf). "De betrokken partijen moeten deze bevindingen serieus nemen en ze gebruiken om het systeem te verbeteren. Het moraal van het verhaal is dat security by obscurity op de lange termijn niet werkt."

De hack treft de variant van de ov-chipkaart voor enkele reizen. Deze maakt gebruik van Mifare Ultralight versleuteling. Deze beveiliging is nog zwakker dan die van de Mifare Classic chips waar onderzoekers eind december zwakke plekken in de beveiliging aantroffen.

De onderzoeker bouwde voor 40 euro een speciaal apparaatje dat de communicatie van de chip afluistert en kopieert. Voor de reis kopieert de reiziger de gegevens van de chipkaart. Nadat er tegoed is afgeschreven overschrijft hij de gewijzigde gegevens waardoor het kaartje opnieuw recht geeft op twee reizen.

In zijn onderzoeksrapport claimt Verduldt dat de methode ook werkt voor de abonnementskaarten die gebruikmaken van de Mifare Classic chip van NXP, het voormalige Philips Semiconductors.

Deze week vindt in de Tweede Kamer een spoeddebat plaats over de beveiligingsproblemen met de ov-chipkaart. Trans Link, de producent van de chipkaart, heeft bovendien voor dinsdag ochtend een persconferentie belegd. Webwereld zal van beide evenementen verslag uitbrengen.