Er is opnieuw een lek gevonden in de ov-chipkaart. In de versleuteling van de chipkaart zit een ernstige kwetsbaarheid die niet zomaar te repareren is. Daarom is het makkelijk om binnen enkele minuten alle informatie in de chip van de chipkaart aan te passen.
Het lek zit in de MiFare Classic-chip, de standaard chipset die in de kaart wordt gebruikt. Die zit in alle OV-chipkaarten die nu in gebruik zijn, ook de meest recente. De versleuteling kan volgens onderzoekers 'binnen enkele minuten' gekraakt worden met een kaartlezer (die voor een paar tientjes te koop is) en wat speciale software.
Informatie veranderen
Als de chip gekraakt is, kan alle informatie op de kaart gemanipuleerd worden. Zo is het mogelijk om locaties te wijzigen of te verwijderen, of om een abonnementsvorm te vervangen - bijvoorbeeld naar een Altijd Vrij-abonnement waarmee altijd gratis gereisd kan worden. Ook is het mogelijk het saldo op de chipkaart aan te passen.
Het lek is niet te dichten op afstand, zeggen de onderzoekers. De enige oplossing zou zijn om alle kaarten die momenteel in omloop zijn te vervangen.
Veel fraude
De beheerder van de OV-chipkaart, TransLink Systems, zegt dan ook te verwachten dat er veel gefraudeerd wordt als het complete onderzoek naar buiten komt. Het bedrijf heeft volgens Nu.nl contact gehad met de onderzoekers, en bevestigt dat het lek inderdaad bestaat.
Openbaar
De publicatie over de chipkaart wordt 21 april bekend gemaakt. Het is niet bekend hoeveel details over het lek naar buiten worden gebracht, en of dat genoeg is voor hackers om zelf met de kaart aan de slag te gaan. TransLink Systems zegt dat het 'de fraude onder controle' heeft en dat het kan zien wanneer iemand fraudeert. Voorlopig zijn er echter geen plannen om alle OV-chipkaarten te vervangen. "Het is dan aan de vervoerders om te beslissen of de schade door fraude opwegen tegen het vervangen van alle chipkaarten."
2011
Het lek werd ontdekt door een student van de Radboud Universiteit, die werkte in de Digital Security Group van Dr. Bart Jacobs. Dat is dezelfde groep die in 2011 ook al een groot lek in de OV-chipkaart onthulde. Het bleek toen moeilijk om fraude te detecteren, maar volgens TransLink Systems heeft het bedrijf geleerd van die situatie en weet het nu veel beter wanneer er fraude wordt gepleegd.