AMERSFOORT - Trans Link Systems (TLS), het bedrijf achter de ov-chipkaart, heeft in stilte een nieuwe versie van de pas in gebruik genomen die bestand is tegen de meest gebruikte kraakmethoden.

Dat blijkt uit onderzoek van NU.nl, dat de vernieuwde chip in handen heeft gehad en testte. De vorige chip, de Mifare Classic van NXP, kan met standaard software van internet kinderlijk eenvoudig worden gekraakt.

Volgens TLS maken dagelijks tientallen mensen misbruik van de lekken door zwart te reizen.

Op de nieuwe chip, de Infineon SLE-66, kan software worden geïnstalleerd. TLS heeft de chip voorzien van programmatuur die inbraakpogingen blokkeert. Hierdoor is het niet meer mogelijk de toegangsssleutel van de chip te achterhalen, en kan met de publiek beschikbare software niet meer met de kaart worden gerommeld.

Gefaseerd ingevoerd

De nieuwe ov-chipkaart wordt sinds twee maanden al geleverd naast de oude chipkaarten, erkent TLS. Ook de oude kaart wordt nog verkocht tot de voorraad op is. Dat is waarschijnlijk voor het einde van het jaar.

De oude chip wordt nu vooral gebruikt voor kaarten op naam, omdat fraude daar sneller tot een persoon te herleiden is. De nieuwe chip wordt vooral bij anonieme kaarten gebruikt.

Geen investeringen

Met de nieuwe chip verwacht het bedrijf de huidige dagelijkse fraude te kunnen tegen gaan. Extra investeringen hoeven niet te worden gemaakt, omdat ook de chip zelf niet duurder is dan de oude, kwetsbare chips. Ook de huidige apparatuur kan met de nieuwe chip gebruikt worden.

Trans Link Systems heeft desgevraagd NU.nl een nieuwe kaart ter beschikking gesteld om de nieuwe beveiliging te testen. Uit een eerste, twee weken durend onderzoek bleek inderdaad dat een aanval met de huidige programmatuur op de nieuwe ov-chipkaart niet langer effectief is.

Zelf inchecken

Het bedrijf blijkt inmiddels meer maatregelen te hebben genomen om fraude te beperken. Zo kunnen kwaadwillenden hun kaart niet meer zo manipuleren dat het lijkt dat ze zijn ingecheckt, terwijl dat niet zo is.

Een conducteur ziet dan niet dat iemand zwart reist, maar krijgt van de controleapparatuur juist de melding dat er correct is ingecheckt.

Controleapparatuur

Inmiddels is controleapparatuur van de conducteurs voorzien van nieuwe programmatuur die het mogelijk maakt om deze fraude in de backoffice te detecteren.

Een eerste keer vindt registratie plaats en bij fraude wordt de kaart op een zwarte lijst geplaatst. Bij een volgend gebruik bij een poortje wordt de kaart geblokkeerd. Een controleur kan een volgende keer zien dat de fraudeur op een geblokkeerde kaart reist.