Gepubliceerd op 2 juli 2007
Vrij reizen mogelijk door fout in software voor kaartlezers wegwerp
OV-rittenkaart
Gepubliceerd op 2 juli 2007
Studenten van de Universiteit van Amsterdam (UvA) hebben tijdens hun
afstudeeronderzoek een fout ontdekt in de beveiligingssoftware voor
papieren wegwerpkaarten voor het openbaar vervoer. Door deze fout
konden bepaalde kaarten opnieuw worden gebruikt. De betrokken openbaar
vervoerbedrijven nemen maatregelen.
De studenten van de masteropleiding System and Network Engineering
ontdekten tijdens een beveiligingsonderzoek dat door een softwarefout
in de kaartlezer van de poortjes papieren wegwerpkaarten kunnen worden
gemanipuleerd en opnieuw gebruikt. Het probleem werd niet veroorzaakt
door de wegwerpkaart zelf, maar door de software in bepaalde
kaartlezers op metrostations waar de geldigheid van wegwerpkaarten
wordt gecontroleerd.
Het probleem doet zich niet voor bij de standaard OV-chipkaart, maar
uitsluitend bij de papieren wegwerpvariant die is bedoeld voor
kortdurend gebruik in het stadsvervoer van Amsterdam en Rotterdam door
bijvoorbeeld toeristen. De beveiliging van de standaard persoonlijke
en anonieme OV-chipkaarten is veel zwaarder.
Genomen maatregelen
De studenten hebben hun bevindingen en suggesties voor een oplossing
van het probleem kenbaar gemaakt aan Trans Link Systems, het bedrijf
dat door de vijf grootste OV-bedrijven in Nederland is opgericht om
het nationale OV-chipkaartsysteem te realiseren.
Trans Link Systems heeft direct maatregelen genomen, zodat schade
voorkomen kan worden. De softwarefout en de genomen maatregelen hebben
geen gevolgen voor de reizigers. De software in de apparatuur wordt
aangepast, zodat het probleem zich niet meer kan voordoen.
Trans Link Systems en de UvA overwegen te gaan samenwerken op het
gebied van onderzoek naar de werking en beveiliging van het nationale
OV-chipkaartsysteem. Woordvoerster drs. Jannemieke Zandee van Trans
Link Systems: "De studenten hebben een constructieve en waardevolle
bijdrage geleverd aan de ontwikkeling en beveiliging van de
OV-chipkaart."
Dr. ir. Cees de Laat van het Instituut voor Informatica van de UvA en
verbonden aan de masteropleiding System and Network Engineering: "Wij
pleiten voor openbare beveiligingsevaluaties van maatschappelijk
kritieke systemen, zoals de OV-chipkaart, omdat wij menen dat dit
leidt tot beter beveiligde en robuuste systemen."
Bron: UvA Persvoorlichting
Universiteit van Amsterdam