Alleen wanneer 'voldoende' reizigers een nieuwe pas heeft, kan van de verbeterde versleuteling in de nieuwe OV-chipkaart gebruik worden gemaakt. Dat bevestigt Trans Link Systems (TLS), het samenwerkingsverband tussen OV-bedrijven dat verantwoordelijk is voor de invoering van de OV-chipkaart. Professor Bart Jacobs van de Radboud Universiteit in Nijmegen betoogde eerder dat deze situatie optimaal gebruik van deze kaart kan vertragen. Het plan is juist om deze in te voeren op het moment dat het aantal fraude-incidenten uit de hand loopt.
'Het klopt, zoals de heer Jacobs zegt, dat het omschakelen naar de veiligere modus kan plaatsvinden indien voldoende OV-chipkaarten met de nieuwe chip zijn gedistribueerd', zegt een woordvoerder van TLS. Of dat tot vertraging kan leiden, laat de woordvoerder in het midden: 'De snelheid van distributie hangt hierbij af van de omstandigheden.'
Volgens professor Jacbos is omschakeling naar de nieuwe kaart complex omdat, zodra de toegangspoortjes zijn omgeschakeld naar de nieuwe chip, reizigers met een oude OV-chipkaart er niet meer doorkomen. 'Van de verbeterde versleuteling kan pas gebruik worden gemaakt wanneer 'zeg 99,9 procent' van de reizigers een nieuwe pas heeft, zei Jacobs eerder in Computable. Zijn Digital Security-vakgroep verwierf in 2008 internationale faam toen deze de gebrekkige beveiliging van de huidige OV-chipkaart kraakte.
Wanneer de nieuwe OV-chipkaart in gebruik wordt genomen is nog onduidelijk. In juni 2008 besloot de toenmalige staatssecretaris Tineke Huizinga van Verkeer en Waterstaat om de huidige OV-chipkaart deze op termijn te vervangen. Wanneer hangt af van de mate waarin fraude wordt gepleegd met de huidige OV-chipkaart.
‘Eén fraudegeval’
Volgens TLS is het moment dat de fraude met de huidige OV-chipkaart uit de hand loopt nog niet aangebroken. 'Na de fraude van € 0,01 door radio Rijnmond in januari 2008 heeft zich één serieus fraude-incident voorgedaan.' Een toen dertigjarige man uit Leiden kopieerde met speciale apparatuur saldo op anonieme OV-chipkaarten.' Volgens TLS werd de fraude gesignaleerd door het 'centrale backoffice-systeem van de OV-chipkaart'.
TLS deed aangifte van de fraude bij de politie Haaglanden. Deze combineerde de gemaakte reisroutes met de illegaal opgeladen OV-chipkaarten met andere gegevens en hield vervolgens een verdachte aan. Volgens TLS bewijst dit incident dat 'misbruik van een OV-chipkaart niet alleen snel gesignaleerd wordt, maar ook goed kan worden opgespoord.'
@Jose
Op het moment dat je op dezelfde halte in en uit check kun je wellicht de bestuurder van bus of tram voor de gek houden, maar bij een controle ben je dan toch echt nog steeds een zwartrijder… je bent op het moment van controle dan immers niet ingecheckt.
@Dirk
Niet alle kaarten zijn anoniem, bovendien zijn kaarten op het moment van in- en uitchecken natuurlijk gekoppeld aan de persoon die de kaart vasthoudt, en de kaart kan ook prima bij de conducteur van de NS als gesignaleerd bekend staan. Mogelijkheden genoeg. Zeker als je een vast reispatroon hebt.
@Hugo, helemaal mee eens: de kans is groot dat alleen dit geval is ontdekt omdat deze meneer niet voorzichtig was, had hij maar een paar kopieeen van verschillende kaarten gemaakt, was hij waarschijnlijk niet ontdekt.
Nu wel, omdat hij te sterk van het patroon afweek (dat is dus inclusief normale afwijkingen!).
Overigens bewijst dit wel hoe makkelijk je getraceerd en gevonden kan worden op basis van een ‘anonieme’ kaart. Go figure.
De betreffende misbruiker is gesignaleerd door het systeem van o-chipkaart, maar is gepakt door de beveiligings beelden van de camera’s op het station en het feit dat hij regulier er mee reisde zodat ze hem konden opwachten…
Het betekent wel dat ook van een anonieme ov-chipkaart de reizen worden opgeslagen en te herleiden zijn naar 1 kaart. (Dit geld bv ook voor de chipknip mbt betalingen)
Hoe anoniem hij dan is(samen met de andere bronen als cctv cemera’s) is dus nu ook duidelijk…..
Het feit dat er ergens mee gefraudeerd kan worden d.m.v. kopieeracties, zegt elke serieuze beveiliger genoeg. Nl. dat klanten helemaal niet blootgesteld zouden moeten kunnen worden aan zo’n systeem. Niet invoeren, dus.
Als er nl. één over de dam is, volgen er meer.
Niemand kan met droge ogen beweren dat het een veilig systeem is. Kans op digitale fraude moet niet klein zijn – ze moet eigenlijk gewoon NUL zijn (of althans heel dicht daar tegen aan). En als er dan al fraude mogelijk is, dan moet dat nimmer op kosten van één slachtoffer kunnen. Hooguit op kosten van TLS zelf. (Ook als het fraude-geval niet aan ’t licht zou komen.)
Zo’n systeem moet best te ontwerpen zijn.
Je moet natuurlijk hackers betrekken bij het bedenken van zo’n systeem. Zij helpen graag.
Dan weet je VANTEVOREN of ’t hackable zal zijn of niet. Helaas heeft men altijd weer een bord voor de kop, en ziet men (hobby-)hackers als de vijand i.p.v. als vriend.