Maar liefst anderhalf jaar konden twee studenten gratis reizen, nadat zij een kwetsbaarheid in de OV-chipkaart hadden ontdekt. Eind 2017 liepen zij tegen de lamp en vorige maand werden zij veroordeeld tot 120 uur taakstraf en 15.000 euro schadevergoeding. Volgens hen zijn er nog meer kwetsbaarheden in de OV-chipkaart.

De twee, die inmiddels zijn afgestudeerd, doen hun verhaal in NRC. Ze waren bepaald niet de eersten die erin slaagden de OV-chipkaart te manipuleren om zo gratis te kunnen reizen. Al sinds de introductie zijn er beveiligingsproblemen. Pas in 2023 hoopt exploitant Trans Link Systems het betaalsysteem voor het openbaar vervoer veilig te hebben, als saldo’s en abonnementen niet langer op de kaart, maar in de cloud worden opgeslagen. Daarvoor moeten nog wel eerst 65.000 automaten worden aangepast. Het wordt dan ook mogelijk om de bankpas als OV-chipkaart te gebruiken.

Camerabeelden
De twee studenten hackten de kaart uit nieuwsgierigheid. Kijken of het kon. Zij geven toe dat het fout was om er vervolgens mee te gaan reizen en de kwetsbaarheid niet aan Trans Link Systems te melden. De exploitant signaleerde het misbruik wel, maar elke keer als kaarten werden geblokkeerd, hackten de studenten weer nieuwe (pre-paid) kaarten. Dat ging zo door, tot nader onderzoek werd ingesteld. Aan de hand van camerabeelden kreeg de politie een signalement van de studenten, waarna tot aanhouding werd overgegaan. In de rechtszaak die volgde, wilde Trans Link Systems 70.000 euro schadevergoeding, omdat gedacht werd dat de studenten ook handelden in gemanipuleerde kaarten, maar dat werd niet voldoende bewezen. Daarom moesten zij alleen voor het eigen gebruik betalen: 15.000 euro.

Avondprojectje
Volgens Trans Link Systems zijn OV-kaarten kwetsbaar, maar is het risico voldoende beheersbaar. Externe deskundigen bevestigen dat. Het is mogelijk de kaarten te kraken, maar dat is wel erg moeilijk en de kans op ontdekking is groot. Daarom gebeurt het weinig. Het systeem wordt nog veel veiliger als er vanaf 2023 nieuwe technologie wordt ingevoerd. De studenten Anne Cuperus en Max Knobbout zijn minder onder de indruk van de beveiliging. Zij spreken over een ‘avondprojectje’. Toch heeft het wel even geduurd voordat zij het communicatieprotocol in kaart hadden gebracht en konden nagaan wat er veranderde na het opwaarderen van de kaart. Toen zij dat doorhadden, konden zij de kaart opwaarderen zonder daarvoor te betalen. Deze kwetsbaarheid is nog steeds in alle OV-chipkaarten aanwezig en vooral bij pre-paid kaarten moeilijk te voorkomen. Achteraf betreuren de studenten hun handelswijze. Legaal reizen had minder gekost en geen strafblad opgeleverd. Ze zeggen nog wel ideeën te hebben over hoe de huidige OV-chipkaart beter beveiligd kan worden, maar Trans Link Systems wil niet met hen in gesprek. Niet slim, aldus Knobbout. Als een ander de methode ontdekt en op internet zet, is volgens hem de doos van Pandora geopend.