Als Nederland aan de nieuwe, veiligere OV-chipkaart gaat, zal deze net zo lek zijn als de huidige kaart. Dat belooft het bedrijf achter de kaart. Pas over vijf jaar worden de gaten gedicht.
Dat meldt het bedrijf Trans Link Systems (TLS) in het eigen onderzoek dat het op verzoek van het Ministerie van Infrastructuur en Milieu heeft uitgevoerd. De nieuwe SmartMX-chip is weliswaar beter beveiligd, maar kan ook opereren alsof het een zogenaamde Mifare Classic-chip is. Die keuze voor de mindere beveiliging is gemaakt.
Het bedrijf is niet in staat om meerdere systemen naast elkaar operationeel te hebben. Daarom wordt gedurende de tijd dat de oude, lekke chip nog bestaat alleen volgens die standaard gewerkt.
“In de tussenliggende tijd is sprake van een tweeledige situatie, waarbij Mifare classic en SmartMX naast elkaar in de markt bestaan. Om dit technisch te realiseren is de SmartMX chip in staat om de Mifare classic te emuleren, oftewel in een Mifare classic modus te werken”, schrijft directeur Gerben Nelemans dan ook. “In die modus zijn de kaarten nog gevoelig voor fraude, hoewel ze wel bescherming bieden tegen een aantal van de huidige zwakheden van de Mifare classic.”
Dat er met de kaart wordt gefraudeerd erkent het bedrijf nu ook openlijk en spreekt over ‘enkele tientallen’ gevallen per dag, waarbij een piek op 6 februari lag met zo’n 60 zaken. TLS zegt een aantal strafbare zaken te hebben geconstateerd: het hacken van OV-chipkaarten, manipuleren van saldo, zelf inchecken, het in bezit hebben van apparatuur om kaarten te manipuleren, reizen op gemanipuleerde kaarten en het verkopen van gemanipuleerde kaarten.
Daarmee erkent het bedrijf dat het nachtmerriescenario, waarvoor de wetenschappers al hebben gewaarschuwd, nu realiteit is geworden. Voor TLS is het reden een lange litanie van mogelijke straffen aan het rapport toe te voegen. De grootste bedreiging is dat het maken van een reis op een gemanipuleerde kaart een boete van €74.000 en zes jaar cel kan opleveren. Ter vergelijking: een bekeuring voor zwartrijden kost €35.
Het bedrijf erkent dat het thuis inchecken voor de OV-chipkaart heel moeilijk is te detecteren, maar belooft aan een maatregel te werken. Daarbij zou de conducteur registreren welke kaarten zijn gecontroleerd en dat tegen de centrale administratie aanhouden. Vooralsnog erkent het bedrijf dat niet te kunnen, waardoor er nagenoeg geen pakkans is.
Of TLS in staat is goede detectie te doen, is maar helemaal de vraag. Het bedrijf claimt de eerste fraude op 12 januari te hebben opgemerkt, terwijl uw verslaggever daarvoor een belangrijk deel van zijn onderzoek al had afgerond en dat ook gemeld heeft aan TLS.
De onderneming geeft een opsomming van media-organisaties die op kaarten hebben gereisd, maar mist er diverse, waaronder onder andere Webwereld en PowNews.
Inmiddels belooft TLS wel beterschap. Het gaat vaker controles in de backoffice uitvoeren, verbeteringen in het systeem doorvoeren en wil ook legitimatie zien als iemand geld van zijn anonieme OV-chipkaart terug wil.
Om zeker van de zaak te zijn heeft PwC op verzoek van het Ministerie van Infrastructuur en Milieu een contra-expertise uitgevoerd. Deze is gebaseerd op de versie van 23 februari van het rapport en is een dag later opgeleverd. Daarbij onderschrijft de onderneming de conclusies van TLS, waarbij het wel erkent voornamelijk af te gaan op gesprekken met de kaartleverancier.