Hoewel technische details ontbreken, waarschuwen beide bedrijven voor de eenvoud van de nieuwe manier om het saldo en persoonlijke gegevens op de OV-chipkaart te wijzigen. Via een Android-app kunnen goedkoop verkrijgbare NFC-stickers worden ‘opgeladen’ met OV-tegoed. Vervolgens doen deze stickers zich voor als OV-chipkaart en kunnen ze dus als geldig vervoersbewijs fungeren.

Niet alleen het OV-saldo op de sticker valt te manipuleren. Ook kunnen persoonlijke gegevens van de 'OV-chipkaart' worden gewijzigd. Op die manier kan er onder valse of gefingeerde naam worden gereisd.

‘Gevolgen niet te overzien’

NFC-stickers worden voor veel andere toepassingen gebruikt en zijn dus legaal verkrijgbaar. Eenmaal voorzien van OV-tegoed kunnen ze bijvoorbeeld op een bestaande OV-chipkaart worden geplakt. De kaartlezer van een vervoersbedrijf valt te misleiden doordat de originele (legale) chip eenvoudig onklaar gemaakt kan worden. Zo kan zelfs een oplettende buschauffeur niets in de gaten hebben bij het gebruik van de sticker.

Een doodgewone NFC-sticker, die bij diverse webwinkels te koop is:

Via: NFC-zone.

De hack is volgens reizigersorganisatie TotalOV en de inmiddels gewaarschuwde OV-chipkaartbeheerder Trans Link Systems (TLS) nog theoretisch. Pas wanneer de bijbehorende applicatie breed beschikbaar komt, zijn de gevolgen volgens TotalOV niet te overzien.

“De vorige problemen met de OV-chipkaart stelden niets voor. Wij brengen dit nu naar buiten voordat het te laat is. Deze stickers kun je overal ter wereld kopen, en de komst van de apps houd je niet tegen”, waarschuwt directeur Clemente Valli van TotalOV. Hij zegt over een demonstratievideo te beschikken van de hack.

4 maanden onderzoek

De reizigersorganisatie heeft ITDevSolutions ingezet om diepgravend onderzoek te doen. Dat onderzoek heeft volgens Falli 4 maanden tijd gekost. Beide partijen gaan om tafel met beheerder TLS. Dan worden de technische details en het potentiële gevaar van de nieuwe hackmethode uitgelegd.

Volgens Valli kan de eenvoudige hackmethode het einde betekenen van de OV-chipkaart. “Ik heb gezien hoe simpel het misbruik is met zo’n sticker en wil het gevaar op deze manier aankaarten, voordat het te laat is. Al ben ik bang dat dit niet gaat lukken, zulke apps moet je verbieden maar dat is in de praktijk onmogelijk.”

TLS wacht af

Trans Link Systems is woensdag ingelicht over de situatie maar wil eerst de technische details afwachten. “Wij hebben uit dit gesprek begrepen dat deze manier met soortgelijke tools en laptop werkt als in 2011 [lees/schrijf-tools waarmee onbeperkt valt te frauderen - red] maar dat er nu een moderne methode is gevonden: een smartphone in combinatie met NFC-sticker", stelt woordvoerder Anita Hilhorst in een eerste reactie op het nieuws.

"Daarbij zou het ook op de nieuwe OV-chipkaarten werken. De app zou volgens TotalOV binnenkort op de markt verschijnen. Wij houden alle ontwikkelingen in de gaten en willen graag op de hoogte gehouden worden” aldus de TLS-woordvoerder.

Partijen om tafel

ITDevSolutions rondt dit weekend zijn onderzoek naar de hack af. Begin volgende week gaan de drie partijen dan om tafel. De onderzoeksfirma laat Webwereld weten dat zij op verzoek van TotalOV met een technische toelichting op de methode kunnen komen. Eerst moet Trans Link System wel de tijd krijgen om maatregelen te nemen, aldus ITDevSolutions.

De OV-chipkaart heeft een gekleurd verleden: tegenstand, theoretische en vervolgens praktische hacks, ophefmakende acties en twijfel, gevolgd door tegenmaatregelen, aangiftes en arrestaties en meer oproer.

Lees meer over de OV-chipkaart.