UTRECHT – Een goed gehackte OV-chipkaart kan met één druk op de knop een kaartjesautomaat van de NS platleggen. Daardoor beïnvloeden de beveiligingsproblemen van de chip ook de verkoop van papieren kaartjes.

Wie een OV-chipkaart zo aanpast dat de inhoud op slechts één karakter niet klopt, kan een kaartjesautomaat platleggen. Bij het lezen van de kaart slaat de software vast, zodat er helemaal niets gebeurt.

Door de eenvoud is het mogelijk de hele papieren kaartverkoop plat te leggen, terwijl het voor reizigers ook niet meer mogelijk is hun OV-chipkaart op te laden. Het probleem is wel te verhelpen, maar wordt niet automatisch gedetecteerd. Pas na melding wordt de programmatuur in de automaat herstart.

Strafbaar

De NS reageert getergd op de onthulling en roept reizigers op vooral geen aanval te doen. "Met het platleggen van een kaartautomaat hebt je vooral je medereizigers die een papieren kaartje willen kopen. Met gewone ov-chipkaarten werkt de kaartautomaat wel naar behoren. Je kaart hacken mag niet”, reageert Rob Hageman. “Ga niet zitten hobbyen, het is strafbaar. Hou er mee op. Betaal voor je reis, zoals het hoort."

Hans van de Looy, oprichter van het beveiligingsbedrijf Madison Ghurkha, deelt de mening van de spoorwegen niet. Hij benadrukt dat een dergelijk probleem ook kan optreden met goede OV-chipkaarten. “Dit kan ook zonder manipulatie gebeuren. Een zogenaamde bitfout, waarbij gegevens op de kaart staan veranderen, komen wel eens voor. Het kan best zijn dat een kaart zelf defect raakt.”

Meer mogelijk

Van de Looy zijn dit soort fouten vaak een voorbode van meer ellende in de programmatuur. “Dan zijn er heel andere aanvallen denkbaar. Hier moet goed naar worden gekeken”, stelt hij ook. Over de reactie van de NS is hij verder kort: “Zorg er nou eens voor dat dit soort zaken veilig zijn."

Het Ministerie van Infrastructuur en Milieu wil niet op de stroom aan recente problemen met de chipkaart reageren. Het departement komt over twee à drie weken met de resultaten van een onderzoek naar de recente kraak en reageert tot die tijd niet op “ieder incident.”