3min

Nadat er de afgelopen weken al allerlei hacktools online verschenen om de OV-chipkaart te kraken, lijkt het eind nu helemaal zoek te zijn. Brenno de Winter, de journalist die het onderzoek in eerste instantie deed en een week met een gehackte en geblokkeerde OV-chipkaart reisde, weet nu te meldden dat er een nieuwe hacktool online is verschenen, welke voor iedereen te downloaden is en niet detecteerbaar is voor de OV-bedrijven.

De nieuwe hacktool die online is verschenen stelt de reiziger in staat om zelf de OV-chipkaart in te checken. Doordat de kaart al is ingecheckt hoeft de reiziger niet meer langs een zogenaamde incheck paal en kan het bedrijf dat de kaart heeft ontwikkeld ook niets door hebben. Zolang er niet bij een paal wordt ingecheckt heeft het bedrijf geen gegevens en kan het niet nagaan of er gefraudeerd is met de kaart. Ook als de conducteur de kaart controleert zal deze netjes aangeven dat deze is ingecheckt. Iedereen kan nu dus ondetecteerbaar en gratis reizen.

De nieuwe software wordt momenteel aangeboden via ThePirateBay maar verscheen eerst op het forum van OV-chipkaart.org. Dat was echter maar van korte duur want de link van de software werd al snel verwijderd door de forumbeheerders. De maker van de software noemt zichzelf OVKipje en heeft op zijn voormalige blog laten weten dat de broncode van de software binnenkort beschikbaar zal komen. We schrijven voormalige blog omdat WordPress de blog inmiddels verwijderd heeft, de gebruiker zou de regels hebben overtreden. Daardoor is software momenteel alleen nog te verkrijgen op ThePirateBay.org.

Deze nieuwe hacktool is een stuk uitgebreider en geavanceerder dat alle eerder verschenen hacktools. Ook is dit de eerste echt uitgebreide tool die ook voor iedereen beschikbaar is. Het enige wat de reiziger nog heeft is een computer en een RFID-reader. De software zal dan een kopie van de kaart aanpassen met het door de reiziger opgegeven incheck-station, datum en tijd.

Er zijn de laatste tijd enorm veel applicaties ontwikkeld en beschikbaar gekomen. Veel tools hacken de kaart op een eenvoudige wijze en bieden de mogelijkheid om het saldo aan te passen. Dit is echter een methode die uiteindelijk wel detecteerbaar is door Trans Link Systems. Ze kunnen namelijk nagaan of jij eerder aan hun een betaling hebt gedaan om je saldo op te waarderen.

Het mag inmiddels duidelijk zijn dat de beveiliging van de kaart zeer slecht geregeld is en dit de OV-bedrijven enorm veel geld zal gaan kosten. Sinds 2008 hebben diverse experts al gewaarschuwd voor dit soort situaties, toch hebben de vervoersbedrijven en de politiek ervoor gekozen de kaart in te voeren en te blijven voeren.

"Jammer dat wat als het blootleggen van kwetsbaarheden begon, nu een crimineel trekje krijgt. Een gevaarlijke drempel wordt overschreden", zegt een voorlichter van de NS tegen Webwereld. Het is inmiddels duidelijk dat er op flink gebruik gemaakt wordt van de hacktools en dat dit niet meer gebeurt om iets aan te tonen. "Fraude is van alle tijden en alle betaalmiddelen. Samen met TLS zal NS zich inspannen om de pakkans zo groot mogelijk te maken."

Waarschijnlijk zal er pas volgend jaar een nieuwe OV-chipkaart klaar zijn om in gebruik te worden genomen, hiervan zou de beveiliging een stuk beter geregeld moeten zijn maar dat weten we pas zeker als de hackcommunity zich hierover heeft gebogen. Tot die tijd zou TLS er verstandig aan doen om een beter controlesysteem te ontwikkelen wat wel in staat is om fraudeurs aan te pakken.