De gegevens van zo'n twee miljoen gebruikers van ov-chipkaart.nl zijn al veel langer onveilig dan in eerste instantie werd gemeld. De eerste melding van de fout kwam al binnen in januari dit jaar.

Dat bevestigt Trans Link Systems (TLS), het bedrijf achter de ov-chipkaart, naar aanleiding van mailwisselingen tussen reizigers en de klantenservice van ov-chipkaart.nl, waarover NU.nl beschikt. 

Door het lek krijgen gebruikers heel soms gegevens van willekeurige gebruikers te zien, waaronder de naam, het adres, het reisoverzicht en het saldo van de desbetreffende persoon.

Eerder meldde TLS dat het pas sinds eind vorige week op de hoogte was van het lek. Later bleek echter dat er wel al eerder meldingen van klanten waren binnengekomen. Die meldingen blijken nu niet te zijn doorgestuurd naar de technische dienst van TLS, die daardoor dus niet op de hoogte was van het probleem.

Screenshots

Pas nadat een gebruiker een uitgebreide mail stuurde, inclusief screenshots, maakte TLS werk van de technische fout. Tenminste één klant stuurde echter in juni ook al bewijs door van de fout. 

"Dit had niet mogen gebeuren, maar het is wel gebeurd", aldus een woordvoerder van het bedrijf, dat alsnog zal reageren op de gebruikers die melding maakten van het beveiligingslek. 

Niet offline

Omdat de website door zoveel mensen wordt gebruikt om te reizen met het openbaar vervoer, was het offline halen van de site geen optie, aldus TLS. Daardoor konden willekeurige gebruikersgegevens dus maandenlang verschijnen op het scherm van andere reizigers. TLS zegt nog altijd achter die keuze te staan.

Volgens het bedrijf was het bovendien lastig om de fout op te sporen, omdat die willekeurig leek op te treden en daardoor niet reproduceerbaar was. Het is niet mogelijk om het lek zo te misbruiken dat er geld kan worden afgeschreven. Dinsdag moet het lek verholpen zijn.