OV chipkaart

Wat begon als ludiek idee van twee Utrechtse vrienden, eindigde in grootschalige fraude met ov-chipkaarten. Tot hun eigen verbazing kregen de mannen het razendsnel voor elkaar om de inhoud van de kaarten volledig te manipuleren. ,,Het is een beetje uit de hand gelopen.”

Het is 2015. De mannen zijn collega’s en werken allebei in Alkmaar bij een IT-bedrijf. Daarom reizen ze bijna dagelijks tussen Utrecht en Alkmaar met de trein. Omdat de ov-chipkaart in die tijd volop in het nieuws is vanwege fraudegevoeligheid, vraagt het duo zich af welke data nu eigenlijk allemaal op die kaart staan en hoe veilig die zijn. Ze besluiten te proberen een kaart te ontleden, door de data uit te lezen via een eigen computer en software.

Stukje bij beetje gaan ze aan de slag met het ontleden en uitsplitsen van alle data die ze tegenkomen op de kaart. Tot hun eigen stomme verbazing komen ze daarmee al heel snel veel verder dan ze verwachtten. Ze ontdekken dat het zelfs lukt om de kaarten eigenhandig vanuit huis van nieuw saldo te voorzien, zonder daarvoor ook maar een cent over te hoeven maken.

Dat dit lukt maakt de verleiding heel groot om te proberen met de gekraakte ov-chipkaarten naar hun werk te gaan reizen op het traject Utrecht-Alkmaar. En dat is precies wat de mannen besluiten te doen, ze reizen maandenlang probleemloos met zelf opgeladen chipkaarten. Om de paar weken wordt een kaart geblokkeerd, maar dan kraken ze gewoon weer een nieuwe. 

Totdat het illegaal opladen op begint te vallen bij het bedrijf achter de chipkaarten: Translink. Het bedrijf ziet verdachte transacties en illegale ophogingen van saldo op verschillende ov-chipkaarten. Bij elkaar opgeteld komen 95 gemanipuleerde ov-chipkaarten in beeld. Door de reizen te linken aan camerabeelden op Utrecht CS, lukt het in combinatie met observaties om de verdachten in beeld te krijgen.

Toen ze eenmaal ontdekt en achterhaald waren, hebben ze geprobeerd om in gesprek te komen met Translink, dat naar eigen zeggen anderhalf miljoen euro kwijt was aan het dichten van het lek. Van een gesprek kwam het nooit, het bedrijf hield de boot af bij de mannen. De twee hebben grote vraagtekens bij het door Translink gecalculeerde reisschadebedrag van een slordige 100.000 euro. ,,Ik vind dat wel heel veel. Ik wil graag weten hoe dat precies zit en kom zelf tot andere bedragen. Dit is hun database, wie heeft dat gecheckt?”

De officier van justitie vindt ‘stelselmatig’ computervredebreuk, gebruik van vervalsingssoftware, vervalsen van 95 kaarten en het gebruik daarvan bewezen. Ook acht hij twee jaar lang reizen voor ruim 23.000 euro tussen Utrecht en Alkmaar bewezen, net als een slordige 10.000 euro aan reizen naar andere stations.

Hij eist 120 uur werkstraf voor beide mannen. Uitspraak op 17 juni.

Alles bij de bron; AD


 

Elke OV-chipkaart moet na vijf jaar worden vervangen wat helpt bij het bestrijden van fraude, zo heeft staatssecretaris Van Veldhoven van Infrastructuur laten weten. De staatssecretaris reageerde op vragen van de VVD dat veel mensen weinig gebruik maken van hun OV-chipkaart en na vijf jaar toch worden geconfronteerd met kosten voor een nieuwe kaart.

De VVD-fractie had dan ook gevraagd om een langere levensduur van de OV-chipkaart te onderzoeken. Ook vroegen de fractieleden wat de risico's voor de OV-chipkaart zijn en of de kaarten vaak "gehackt" worden. Volgens Van Veldhoven is de technologie achter het OV-chipkaartsysteem verouderd en wordt daardoor ook kwetsbaarder voor fraude. "Translink maakt in haar jaarverslag melding van eventuele hackgevallen en in 2019 zijn er enkele incidenten geweest", merkt ze op.

Volgens Translink, de uitgever van de OV-chipkaart en verantwoordelijk voor het functioneren van het OV-chipkaartsysteem, zijn er geen aanwijzingen dat grootschalig misbruik van de OV-chipkaart ophanden is. Het aantal gesignaleerde fraudegevallen beperkte zich vorig jaar tot enkele OV-chipkaarten (pdf).

Alles bij de bron; Security


 

De ombudsman voor het openbaar vervoer krijgt veel klachten over tarieven, boetes én het omchecken. ‘De ov-chipkaart is foutgevoelig en onrechtvaardig.’

Een reiziger tussen Amsterdam en Utrecht constateerde vorig jaar dat Qbuzz hem bij een overstap ten onrechte opnieuw het opstaptarief in rekening brengt. Het verweer van het vervoersbedrijf: we zijn van leverancier veranderd en die kan de software niet aanpassen.

Dat kan dus echt niet, stelt Bram Hansma (40), sinds een jaar ombudsman voor het openbaar vervoer – een instituut dat zich tot vorig jaar OV loket noemde. ‘Klanten krijgen bij problemen vaak te horen dat het niet anders kan, omdat het systeem nu eenmaal zo is ingericht. Maar ik teken als reiziger niet voor het systeem. Ik wil van A naar B voor een redelijke prijs.’

Hansma is dan ook kritisch over de weigering van het kabinet om vervoersbedrijven te verplichten tot een ‘enkelvoudige check-in, check-out’. Daarmee zouden reizigers bij overstappen op een andere vervoerder niet meer hoeven om te checken. De omcheckkwestie duikt op in de jongste kwartaalrapportage van de ombudsman, die  vandaag verschijnt. Hij kreeg 1.018 klachten over uiteenlopende zaken als tarieven, boetes en dienstregeling. Een jaar ervoor waren dat er maar 799.

‘Er gaat gelukkig veel goed in het ov, maar ik vind het aantal klachten best hoog. Om te beginnen bemoeien wij ons pas met een kwestie als klant en vervoerder er niet uitkomen of een klant te lang moet wachten. Verder kunnen achter een enkele klacht duizenden gedupeerden schuilgaan. Vorig jaar bleek dat studenten door een kalenderfout bij de vervoerders ten onrechte betaalden voor een reis in het ov. Daar kregen we maar twee meldingen over binnen, maar het raakte 78 duizend studenten.’

Alles bij de bron; Volkskrant


 

OV-reiziger Michiel Jonker heeft twee zaken die hij had aangespannen tegen de Autoriteit Persoonsgegevens wegens het afwijzen van twee handhavingsverzoeken verloren. Jonker had de toezichthouder gevraagd om tegen vier vermeende privacy-inbreuken in het OV op te treden.

Het gaat om het weigeren van contante betalingen voor eenmalige buskaartjes door vervoersbedrijf Connexxion en drie inbreuken door de NS, namelijk het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn gegevens niet aan de NS verstrekt, het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun gegevens niet aan de NS verstrekken en het in rekening brengen van extra "servicekosten" als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De Autoriteit Persoonsgegevens besloot de punten niet te onderzoeken omdat uit een "globaal (bureau)onderzoek" bleek dat er geen sprake was van enige overtreding.

De bestuursrechter is het in alle gevallen eens met de Autoriteit Persoonsgegevens. Volgens de rechtbank is het weigeren van contant geld om de veiligheid in bussen te vergroten hiervoor een gerechtvaardigd doel. In het geval van de NS blijkt de vervoerder bij het teruggeven van saldo op anonieme OV-chipkaarten wel om legitimatie te vragen, maar worden deze gegevens niet genoteerd. Verder blijkt dat reizigers die bij een servicebalie van de NS een internationaal treinticket kopen niet verplicht zijn om persoonsgegevens af te staan.

Als laatste vindt de rechtbank de servicekosten van 0,50 euro voor het opwaarderen van een anonieme OV-chipkaart bij een servicebalie niet onredelijk.

Alles bij de bron; Security


 

De Rechtbank Gelderland behandelt volgende week maandag 16 december het beroep van OV-reiziger Michiel Jonker tegen de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). Jonker had de toezichthouder gevraagd om tegen vier vermeende privacy-inbreuken op te treden.

Het gaat om het weigeren van contante betalingen voor eenmalige buskaartjes door vervoerbedrijf Connexxion, het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn gegevens niet aan de NS verstrekt, het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun gegevens niet aan de NS verstrekken en het in rekening brengen van extra "servicekosten" als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De Autoriteit Persoonsgegevens besloot de punten niet te onderzoeken omdat uit een "globaal (bureau)onderzoek" bleek dat er geen sprake was van enige overtreding.

De OV-reiziger vindt dat de AP als toezichthouder en handhaver niet zomaar mag weigeren om iets te onderzoeken. "Veel Nederlandse toezichthouders, waaronder de AP, hebben nogal de neiging weg te kijken en op die manier aan struisvogelpolitiek te doen. Maar we betalen die toezichthouders wel van ons belastinggeld. Dat doen we niet om ze te laten wegkijken." Jonker wordt in het hoger beroep gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Alles bij de bron; Security


 

Studenten die op 16 augustus met hun ov-studentenkaart hebben gereisd, moesten daarvoor - ten onrechte - betalen. Dat geld kunnen ze terugvorderen, maar dat is in veel gevallen nog niet gedaan.

Van de bijna 73.000 bezitters van een OV-studentenjaarkaart hebben volgens de OV ombudsman 58.000 studenten hun geld nog steeds niet teruggevraagd. Volgens de ombudsman hebben de studenten recht op het geld. "De meeste betalingen in het openbaar vervoer gaan digitaal", zegt hij. "Maar in dat systeem kunnen fouten optreden. Reizigers moeten er dan blind op kunnen vertrouwen dat de OV-sector zich dan maximaal inspant om onbetaalde bedragen te restitueren.

"Wie geld terug wil, hoeft alleen maar langs de kaartautomaat", laat de ombudsman weten.

Alles bij de bron; RTLZ


 

De Autoriteit Persoonsgegevens (AP) hoeft niet op te treden tegen de NS omdat het niet mogelijk is om met een anonieme ov-chipkaart gebruik te maken van een abonnement, heeft de rechtbank Midden-Nederland beslist...

...De rechtbank gaat mee met het argument van de NS dat de vervoerder dankzij het inchecken kan controleren of de ov-chipkaarthouder zijn abonnement heeft betaald. Ook kan de NS dankzij het in- en uitcheckproces controleren welke reizen binnen het abonnement van de klant vallen.

Daarnaast wijst de rechter de man erop dat het nog steeds mogelijk is om anoniem te reizen, bijvoorbeeld door een anonieme ov-chipkaart aan te schaffen en deze af te rekenen met contant geld. "Dat dit volgens eiser niet werkbaar is, betekent niet dat die mogelijkheden er niet zijn", aldus de rechter.

Alles bij de bron; NU


 

D66 wil opheldering van minister Van Nieuwenhuizen over de anonieme OV-chipkaart die volgens treinreiziger Michiel Jonker helemaal niet anoniem is. Het saldo wordt namelijk niet op de kaart geladen, zoals aan treinreizigers werd gecommuniceerd, maar overgemaakt naar de back-office van het bedrijf Translink Systems (TLS), dat in opdracht van NS betalingen afhandelt.

Dat betoogde Jonker onlangs tijdens een rechtszaak die hij tegen de Autoriteit Persoonsgegevens had aangespannen. Kamerleden Verhoeven en Schonis willen nu van Van Nieuwenhuizen weten welke gegevens van de OV-chipkaart, zowel bij de anonieme als de persoonlijke OV-chipkaart, door NS worden opgeslagen. Ook moet de minister laten weten welke gegevens TLS over de anonieme OV-chipkaart logt en met welke reden. 

Afsluitend moet Van Nieuwenhuizen duidelijk maken op welke manier de privacy van OV-chipkaartgebruikers wordt beschermd en of hierbij onderscheid kan worden gemaakt tussen de anonieme en de persoonlijke OV-chipkaart. De minister heeft drie weken de tijd om de vragen te beantwoorden.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha