Het is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.

Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Wie een lopende sessie overneemt krijgt inzage in het reisgedrag van mensen, welke ov-kaarten er in gebruik zijn en een overzicht van producten op de verschillende kaarten. Ook kunnen persoonsgegevens worden ingezien en dus gestolen.

Minstens zo pijnlijk is dat accounts van mensen kunnen worden afgesloten en gegevens worden gewijzigd. Ook is het bijvoorbeeld mogelijk automatisch opladen via een bankincasso kunnen aanzetten of juist uitzetten. Verder kunnen kaarten als gestolen worden aangemeld, waardoor de echte eigenaar niet meer kan reizen.

Alles bij de bron; webwereld