Bij misbruik is de belofte dat een kaart geblokkeerd wordt. Het blijkt echter mogelijk een kaart te deblokkeren door een bitje op de kaart te veranderen. Daarvoor zijn inmiddels standaard programma's aanwezig.

Chip elektrocuteren

Om dit te voorkomen heeft TransLink Systems (TLS) het plan nu om de chip fysiek op te blazen met een elektromagnetische puls (emp) vanuit de poortjes of palen waar men in- en uitcheckt.

Hierdoor komt er kortsluiting in de delicate chip, is de OV-chipkaart kapot en zou het deblokkeren niet meer mogelijk zijn. Dat dit technisch mogelijk is demonstreerde beveiligingsexpert Jeroen van Beek bij een demonstratie op de BigBrother Awards 2009 (zie onderaan). Zo'n apparaat wordt een RFID-zapper genoemd.

Upgrade

De verandering lijkt groot, maar hoeft dat volgens experts niet te zijn. De spoel die nodig is voor het leveren van de energie zit standaard al in poortjes en kaartlezers en zou daar geschikt voor moeten zijn. Wel moet mogelijk iets aan stroomvoorziening worden aangepast. Ook zal er een softwareupdate nodig zijn.

TLS voert als beleid geen openheid te betrachten over de beveiliging van het systeem. “Zoals je weet, is beveiliging een continu proces bij TLS en verbeteren wij onze processen en techniek voortdurend. Inhoudelijk geven wij niet aan hoe wij dat doen", stelt zegsvrouw Anita Hilhorst tegenover Webwereld. Een strategie waarvan securityguru Bruce Schneier in 2008 al stelde dat hierdoor het project OV-chipkaart gedoemd is te mislukken.

Onveiligheid

De beslissing roept de vraag op of door het gebruik van de techniek andere kaarten niet geblokkeerd worden. Dat zou bijvoorbeeld kunnen als iemand de portemonnee tegen een incheckpaal of poortje houdt. Ook roept de aanpak de vraag op in hoeverre er gezondheidsrisico's aan het opblazen van kaarten zitten.

Ook hier is TLS weinig spraakzaam over en wordt niet duidelijk of de beveiligingsmaatregel afdoende is onderzocht. “Het spreekt voor zich dat wij geen maatregelen nemen die gezondheidrisico's met zich mee brengen of die invloed hebben op andere passen", sust het bedrijf.

Klokkenluider

Het nieuws komt van een bron binnen TLS. De persoon meldt zich om daarmee aan te geven moeite te hebben met de 'manier waarop zijn werkgever een mooi product kapot maakt'. De bron verstrekt informatie om een signaal te geven en 'openbaar te maken wat openbaar hoort te zijn'.

Demonstratie van het elektrocuteren van een RFID-chip: