Het systeem achter de laadpassen voor elektrische auto’s blijkt fraudegevoelig. Dat toont internetbeveiliger Eset aan door met een simpele truc het unieke id-nummer van de pas te kopiëren.

Om de laadpas te kraken, volstaan een Android-app voor het lezen van de nfc-chip en een Proxmark3 nfc-writer waarvan namaakversies voor enkele tientjes verkrijgbaar zijn in Chinese webshops. Nadat de unieke identiteitscode van de originele kaart via de nfc-reader is bemachtigd - waarvoor dus wel de kaart van de pashouder moeten worden gescand - wordt de code naar een andere kaart gekopieerd. Vervolgens is de gekopieerde pas te gebruiken om te betalen bij laadpalen. 

Bij het Nationaal Kennisplatform Laadinfrastructuur (NKL) zou het probleem al langer bekend zijn. Maar in de afwegingen rondom gebruiksvriendelijkheid - de passen moeten werken bij laadpalen van verschillende aanbieders - zou het platform dat een aanvaardbaar risico vinden. 

Fastned, dat laadpalen langs snelwegen aanbiedt, verklaart dat de passen ‘niet de best beveiligde techniek’ gebruiken en dat het bedrijf daarom scherp op fraude let. Fraudeurs zijn volgens Fastned bovendien met camerabeelden op te sporen omdat die de stations beveiligen en kentekens registreren.

‘Het probleem is dus bekend bij de aanbieders van de passen, maar waarschijnlijk is het niet op korte termijn op te lossen. Dat komt door de infrastructuur van het systeem achter de betaalpassen. Het unieke id-nummer is op dit moment de enige authenticatie van de kaart.’ aldus Dave Maasland, directeur Eset Nederland

Alles bij de bron; Computable