In 2011 toonde ik aan hoe in de dagelijkse praktijk de OV-chipkaart te misbruiken was. Effectief optreden tegen fraude gebeurde niet. In de reactie was het bedrijf achter de kaart, Trans Link Systems, weinig volwassen. Het bedrijf was in de ontkennende fase en er volgde aangifte tegen mij.
De zwakheden werden grote ondervangen door een andere chip in te zetten, die aanvallen stopt. Je kunt deze kaart wel kraken, maar triviaal is het niet meer. Ook is de fraudebestrijding verbeterd. Rommelt iemand nu met de kaart dan wordt het gedetecteerd. Het gevolg: maandelijks worden 30 OV-chipkaarten geblokkeerd. Het risico is daardoor beperkt tot zo’n 250 euro per maand.
Inmiddels is duidelijk dat er een nieuw technisch probleem in de chip zit waardoor er nieuwe mogelijkheden voor misbruik zijn. Wederom een staaltje fantastisch werk van de wetenschappers van de Radboud Universiteit.
Dit keer is de aanval zo ernstig dat het lek niet meer te dichten is. Gelukkig doet Trans Link Systems nu betere fraudedetectie als gevolg van mijn eerdere onderzoek. Als het moment aanbreekt dat er tools op internet komen en misbruik van de kaart mogelijk is dan kan er worden ingegrepen. Dus is er een beheersbaar probleem.
Waar eerder er een Shoot The Messenger-houding was bij het bedrijf achter de kaart, wordt er nu anders gereageerd. Trans Link Systems slikt diep, erkent het probleem en staat mij uitgebreid te woord. Die andere houding is een zegen voor beveiliging, want nu kun je praten over oplossingen.
De vraag is niet of je wordt gehacked, maar wanneer en of je het tijdig ontdekt. Daarbij moet je blij zijn met de boodschapper van het nieuws, want criminelen melden zich doorgaans niet en onderzoekers wel. Precies dat laatste heeft Trans Link Systems gedaan. Sinds 2011 is er duidelijk geleerd.
We mogen in Nederland heel trots zijn op goede onderzoekers bij de Radboud Universiteit onder leiding van professor Bart Jacobs. Hierdoor zijn we problemen iets meer voor en kunnen we veiliger zijn.
