Reisgedrag van anonieme OV-chipkaart-gebruikers is eenvoudig en ongemerkt in te zien

Het reisgedrag van mensen die een anonieme OV-chipkaart gebruiken is op eenvoudige wijze te volgen. Met behulp van het kaartnummer en de vervaldatum kan een anonieme OV-chipkaart worden gekoppeld aan een online account, waarna het reisgedrag van de eigenaar in nagenoeg real-time kan worden bekeken.
OV-chipkaart
De slechte beveiliging van de anonieme OV-chipkaart is ontdekt door Edo-Martijn Janssen, die zijn verhaal doet tegenover het NRC. Janssen maakte een account aan op ns.nl voor zijn eigen OV-chipkaart. Aan dit account koppelde hij de anonieme OV-chipkaarten van gezinsleden, waarna hij hun reisgedrag probleemloos kon bekijken. NS.nl maakt het mogelijk een anonieme OV-chipkaart te koppelen aan een online account door het kaartnummer en de vervaldatum in te voeren. De eigenaar hoeft vervolgens alleen nog met de OV-chipkaart langs een automaat van de NS om de koppeling te bevestigen. In dit geval moet de aanvaller dus (enige tijd) in bezit zijn van de OV-chipkaart van het slachtoffer.
Het is echter ook mogelijk de anonieme OV-chipkaar te koppelen aan een account bij ov-chipkaart.nl. Deze koppeling blijkt nog slechter te zijn beveiligd. Bij deze website is het voldoende alleen het kaartnummer en de vervaldatum in te voeren en hoeft de koppeling niet te worden geactiveerd. Zowel het kaartnummer als de vervaldatum zijn op de anonieme OV-chipkaart geprint en dus eenvoudig af te lezen. Het simpelweg overschrijven van beide nummers is dus voldoende om toegang te krijgen tot het reisgedrag van de eigenaar.