Website van OV-chipkaart onveilig door bug

Nadat eerder al is bewezen dat de OV-chipkaart zo lek is als een mandje en eenvoudig gekraakt kan worden, blijkt nu ook de website van de OV-chipkaart een lek te bevatten. Het lek werd afgelopen zaterdag wereldkundig en Trans Link Systems (TLS), het bedrijf achter de OV-chipkaart, laat weten dat het lek dinsdag gedicht zal worden.

Waar de kwetsbaarheid precies in de website zit is niet duidelijk, maar ergens in de aanmeldprocedure gaat het mis. Een reiziger die onlangs een account probeerde aan te maken kreeg de gegevens van twee bestaande reizigers voorgeschoteld en kon deze gegevens zelfs aanpassen. De reiziger heeft TLS direct gewezen op de fout in de website, tot op heden is het lek echter niet gedicht.

TLS zegt dat het op dit moment testen aan het uitvoeren is, het lek zou moeilijk te reproduceren zijn. Het bedrijf verwacht het lek dinsdag te hebben gedicht. In totaal heeft de website zo’n 2 miljoen accounts, via de website kunnen transactiegegevens worden bekeken en kan het saldo worden verhoogd. Hoewel het lek redelijk ernstig is, lijken de gegevens van de 2 miljoen gebruikers niet te zijn uitgelekt.