Gezamenlijk persbericht Universiteit van Amsterdam en Trans Link Systems

Vrij reizen mogelijk door fout in software voor kaartlezers wegwerp OV-rittenkaart.

Studenten van de Universiteit van Amsterdam (UvA) hebben tijdens hun afstudeeronderzoek een fout ontdekt in de beveiligingssoftware voor papieren wegwerpkaarten voor het openbaar vervoer. Door deze fout konden bepaalde kaarten opnieuw worden gebruikt. De betrokken openbaar vervoerbedrijven nemen maatregelen.

De studenten van de Masteropleiding System and Network Engineering ontdekten tijdens een beveiligingsonderzoek dat door een softwarefout in de kaartlezer van de poortjes papieren wegwerpkaarten kunnen worden gemanipuleerd en opnieuw gebruikt. Het probleem werd niet veroorzaakt door de wegwerpkaart zelf, maar door de software in bepaalde kaartlezers op metrostations waar de geldigheid van wegwerpkaarten wordt gecontroleerd.
Het probleem doet zich niet voor bij de standaard OV-chipkaart maar uitsluitend bij de papieren wegwerpvariant die is bedoeld voor kortdurend gebruik in het stadsvervoer van Amsterdam en Rotterdam door bijvoorbeeld toeristen. De beveiliging van de standaard persoonlijke en anonieme OV-chipkaarten is veel zwaarder.

Genomen maatregelen
De studenten hebben hun bevindingen en suggesties voor een oplossing van het probleem kenbaar gemaakt aan Trans Link Systems, het bedrijf dat door de vijf grootste OV-bedrijven in Nederland is opgericht om het nationale OV-chipkaartsysteem te realiseren.
Trans Link Systems heeft direct maatregelen genomen, zodat schade voorkomen kan worden. De softwarefout en de genomen maatregelen hebben geen gevolgen voor de reizigers. De software in de apparatuur wordt aangepast, zodat het probleem zich niet meer kan voordoen.

Trans Link Systems en de UvA overwegen te gaan samenwerken op het gebied van onderzoek naar de werking en beveiliging van het nationale OV-chipkaartsysteem. Woordvoerster drs. Jannemieke Zandee van Trans Link Systems: "De studenten hebben een constructieve en waardevolle bijdrage geleverd aan de ontwikkeling en beveiliging van de OV-chipkaart".
Dr. ir. Cees de Laat van het Instituut voor Informatica van de UvA en verbonden aan de Masteropleiding System and Network Engineering: "Wij pleiten voor openbare beveiligingsevaluaties van maatschappelijk kritieke systemen, zoals de OV-chipkaart, omdat wij menen dat dit leidt tot beter beveiligde en robuuste systemen".

Noot voor de redactie:

Voor meer informatie kunt u contact opnemen met:

Cees de Laat (UvA), telefoon 0651566438
Godfried Jansen (UvA), telefoon 0620499342
Jannemieke Zandee (Trans Link Systems) telefoon 06 55 740 821.

Zie ook: www.os3.nl
en: rp/2006-2007/index.html