Rechter veroordeelt man die gratis reisde door kwetsbaarheid Translink-systemen

De politierechter in Haarlem heeft maandag een man uit Beverwijk veroordeeld voor het tussen 2020 en 2023 herhaaldelijk misbruiken van een kwetsbaarheid in de systemen van Translink. Daardoor kon hij met behulp van een Chinese NFC-chip jarenlang gratis reizen.

De man wist tussen 2020 en 2023 met een Chinese NFC-chip reisgegevens van ov-kaarten te kopiëren en saldo toe te voegen zonder te betalen, schrijft de IJmuider Courant. Hoe hij dat precies deed, is niet bekend. De politie had de man eerder opgedragen te stoppen, maar dat deed hij niet. De rechter erkende dat de man een kwetsbaarheid aantoonde, maar vond de aanpak daarvan niet proportioneel. Hij krijgt een voorwaardelijke geldboete van 2000 euro.

De man wilde naar eigen zeggen 'als klokkenluider' wijzen op de gebrekkige beveiliging van Translink. Hij wilde melding doen via het responsibledisclosureprogramma, maar deed dat niet omdat Translink daarvoor volgens hem software uit 2008 gebruikt. Een melding via de veiligheidsregio leverde geen reactie op. Hij wees tijdens de zitting onder meer op de risico's voor vitale infrastructuur, omdat Translink ook systemen voor Defensie beheert.

Door Imre Himmelbauer

Redacteur

20-08-2025 • 14:58

196

Submitter: spnw

Reacties (196)

196
195
129
12
0
47

Sorteer op:

Weergave:

De man wist tussen 2020 en 2023 met een Chinese NFC-chip reisgegevens van ov-kaarten te kopiëren en saldo toe te voegen zonder te betalen, schrijft de IJmuider Courant. Hoe hij dat precies deed, is niet bekend.
Het was al lang en breed bekend dat OV-chipkaarten te kraken zijn (EDIT: dit artikel van 2015 was kennelijk een aanvulling op de eerdere berichtgeving van 2008(!) dat het te kraken was), aangezien het Mifare Classic kaarten zijn waarvan de encryptie al lang en breed verslagen is. De kaarten zijn nooit veranderd, dus dezelfde problemen bestaan nog steeds. De "Chinese NFC-chip" waarover wordt gesproken is dus ook gewoon simpelweg een Mifare Classic chip met Chinese backdoor ("magic") commandos. Deze is belangrijk om het serienummer (UID) te kunnen veranderen, iets wat anders gelocked is vanuit de fabriek. De reden om de UID te veranderen is zodat hij in het systeem van Translink herkend wordt als een daadwerkelijk door hen uitgegeven pas. Voor de rest hoeft hij alleen maar data van een pas er op te zetten en hij heeft een ander saldo, aangezien saldo en recente reisdata ook gewoon op de pas opgeslagen staat in plaats van dat dit bij elke incheck/uitcheck online wordt gecontroleerd (wat beduidend trager zal gaan dan lokaal de data op de pas na te kijken).

Ik denk dat de Officier van Justitie hier wel gelijk heeft in het statement dat hij "de kaders voor ethische hackers ernstig heeft overschreden". Allereerst was het al sinds 2015 2008 bekend dat dit probleem bestaat, maar is alsnog een bewuste keuze gemaakt om door te gaan met implementatie hiervan. Dat kan men laks vinden (dat vind ik zelf ook), maar dan is er in ieder geval over nagedacht. Dan denkt deze persoon alsnog "hey dat is slecht" (waar ik hem 100% gelijk in geef) maar gaat dan meermaals, zelfs nadat de politie al zegt dat hij moet kappen, dit lek gebruiken om gratis te reizen. Dan heb je het niet meer over responsible disclosure, maar gewoon over een strafbaar misdrijf.

Dat meneertje dan begint over "staatsveiligheid" is een wassen neus. Wat voor staatsveiligheid is in het geding zolang iemand data van een OV-chipkaart kan manipuleren?

[Reactie gewijzigd door stuiterveer op 20 augustus 2025 16:34]

Dat meneertje dan begint over "staatsveiligheid" is een wassen neus. Wat voor staatsveiligheid is in het geding zolang iemand data van een OV-chipkaart kan manipuleren?
Uit het rechtbankverslag in de IJmuider Courant: "K. legde uit dat het volgens hem ook mogelijk is om data naar het systeem te uploaden via de toegangspoortjes op Nederlandse stations. Omdat Translink ook systemen voor Defensie verzorgt, zou een kwaadwillende partij op deze manier essentiële systemen kunnen platleggen."

Dit is de reden dat hij vindt dat de staatveiligheid in het geding is. Of het kan is vers 2, maar er is in elk geval een motivatie.
Ongezouten mening: lijkt mij vrij vergezocht om ergens onder uit te komen.

RFID kaarten in de basis zijn niets meer dan geheugensticks die door een RFID reader worden gevoed en die worden gelezen/geschreven.
Er wordt in veel systemen (onterrecht) vertrouwen gelegd in de authenticiteit van de data op de kaart. Klassieke RFID kaarten kon je "backuppen", saldo opgebruiken, en dan de "backup" terugzetten om je saldo te herstellen. Totdat de server de gehele boekhouding heeft nagelopen kan je dus zo'n kaart misbruiken.
Mifare voegt daar een stuk encryptie en authentificatie aan toe. Nou, die encryptie/authentificatie was niet heel sterk. Tenslotte met clone kaartjes kan je wijzigen en clonen wat je wil.

Maar de rollen van RFID reader en kaart blijven hierin altijd gelijk. De kaart is "dom", de RFID reader start alle transacties. Het "uploaden" vind ik dan wel een groot woord om te gebruiken. Elk systeem kent wel uplink/downlink communicatie, dus wellicht kan ik daarin nog vergevelijk zijn als dit als synoniem wordt gebruikt. Maar met deze termen kan ook een USB stick data naar je PC 'uploaden'. Sja, beetje raar om zo te noemen toch?

En dan stap 2: waarmee wordt dan verbinding gelegd, en welke data kan dan worden geupload? Wederom, dan moet er toch wel iets van een bad payload zijn die fundamenteel buiten de rollen van reader/memory gaat om dit voor elkaar te krijgen. En hoe die verbinding dan vanaf een station wordt gelegd naar defensie, welke niche is dat het niet via WWW kan, is mij een compleet raadsel.
Als dit zo'n belangrijk onderdeel is van deze 'experimenten' en verdediging, dan had ik daar wel iets meer body bij verwacht. Anders wordt dit wel beetje niveau van Rijbroek bij Nieuwsuur ben ik bang.

[Reactie gewijzigd door Hans1990 op 20 augustus 2025 20:02]

Lijkt mij ook vergezocht, maar in de rest van het verhaal komt de man wel capabel over, dus ik ben wel benieuwd. Dit is wat ik heb gevonden in de krant en daarmee moeten we het doen om met Frank Visser te spreken. :)

Ik vermoed dat de rechter er verder niet op ingegaan is, want dat was niet waar de aanklacht over ging. Het ging over illegaal rijden met OV.
Goed punt, heb daar lekker makkelijk overheen gelezen kennelijk. Sterke claim wat ik betwijfel, maar dan kan ik die zorg in ieder geval wel wat meer begrijpen.
Lijkt mij ook sterk, maar op zich is platleggen dan wel weer makkelijker dan op die manier toegang tot een Defensie installatie krijgen.

Wat ik me wel afvraag is of Defensie dan nog steeds toegangspassen met de Mifare Classic gebruikt.
Kijk, daar stellen we de leuke vragen (niet dat ik daar zelf een antwoord op heb overigens)! Hier wordt geconstateerd dat het een algemeen risico is puur omdat het door dezelfde partij wordt beheerd. Hij vergeet alleen daarin mee te nemen dat het systeem voor een ander doel is gemaakt dan een toegangssysteem voor defensie (of eender welk toegangssysteem), waardoor ook de kaarttypen en de beveiliging daarvan totaal anders kan zijn.

Zo kan ieder persoon wel gaan claimen dat ieder Android toestel mogelijk kan worden gehacked puur omdat er een groot probleem zou zitten in Google Search...
De Oude Defensiepas is vervangen door de Nieuwe Defensiepas en werd in 2020 ingevoerd.

[Reactie gewijzigd door wow7 op 20 augustus 2025 18:16]

en die pas is ook al weer vernieuwd afgelopen jaar door een nieuwe versie. Maar huidige de defensiepas bevat 2 chips, een fysieke chip (voor authenticatie encryptie ed.) en een NFC chip voor slagbomen en poortjes om het terrein op te komen. en laat de nieuwste chip van vorig jaar nou idd een nieuwe fysieke chip hebben, maar nog steeds de Mifare chip voor NFC gebruiken.
En dat ligt dan weer aan de enorme vertraging die het Rijkspas verhaal heeft opgelopen.(dat ligt buiten defensie) Daar moet defensie dan nl. in mee en al hun toegangspoorten ed. vervangen. Dat vond men indertijd nogal weggegooid geld om tig miljoen voor die vervanging uit te geven om eerst de mifare te vervangen en om dan bij wijze van spreken nog voordat alles helemaal vervangen is weer de poortjes moeten vervangen omdat de rijkspas zijn eigen keuze gemaakt heeft en defensie daarin verplicht mee moet. Maar ondertussen had die vervanging wel degelijk zin gehad en blijft het argument we wachten op rijkspas die beslist wat voor NFC chip het moet gaan worden nog net zo "valide".

valide idd tussen haakjes, want als er eindelijk voortgang plaatsvind met de rijkspas dan moeten alle poortjes/deur scanners ed. vervangen worden. Maar dat moet ook als defensie die Mifare kwijt wil. Dus dan kijkt defensie naar een enorme operatie die 2 keer uitgevoerd moet worden. echter ondertussen is dat nu al zoveel jaar langslepende kwestie dat defensie wel een keertje de knoop had door mogen hakken en zelf aan de gang kunnen gaan.

En je kan het ze bijna niet verwijten ook nog want ik zie de krantenkoppen al als defensie nu de chip gaat vervangen en dan over 3 jaar als die hele operatie rond is komt de rijkspas en mag het nog een keer. "defensie verspeeld miljoenen met dubbele vervanging van toegangspassen" of "nieuwe defensiepassen en toegangspoortjes goed en wel ingevoerd of ze mogen reeds vervangen worden"
Het probleem bij Defensie is niet welk systeem ze gebruiken, maar het beheer ervan. Vorig jaar of het jaar ervoor toonde Alberto Stegeman nog aan dat mensen die niet meer voor Defensie werken nog altijd toegang hebben tot de kazernes, omdat de passen van ex-militairen niet worden gedeactiveerd of teruggevraagd. Dat lijkt me een groter probleem dan een theoretisch lek waar een hacker nog wat moeite voor zal moeten doen (misschien niet extreem veel moeite, maar meer dan “ik ben een ex-militair en krijg met mijn pas toegang”).
die pas bleek wel degelijk geblokkeerd. Alberto wist door een opening te klimmen en kwam daarom het terrein op.
Ja, uiteindelijk wel, maar voordat ze hem blokkeerden, duurde het wel een hele tijd. Die hekopening is trouwens ook een soort van lek.
Je zegt dat de kaarten nooit veranderd zijn, maar als ik het mij goed herinner zijn ze rond 2012 van de Mifare classic overgestapt naar Infineon SLE-77.

Maar dat is inmiddels ook een verouderde chip.

Waarvan nu blijkt dat die dus ook niet zo veilig zijn als gedacht, maar het zijn nu zeker niet meer dezelfde nfc chips als uit de tijd van introductie van de OV-chipkaart of van het onderzoek van de Radboud universiteit.
Je zegt dat de kaarten nooit veranderd zijn
Ik had het beter kunnen zeggen, maar wat ik bedoelde is dat het nog altijd Mifare Classic is. Dan kun je wel een andere chip er op hebben van NXP, Infineon, of whatever, maar uiteindelijk moet het nog altijd aan de Mifare Classic spec voldoen wat betekent dat je nog altijd met de problemen van crypto1 te maken hebt. Dat is niet veranderd.
Dat meneertje dan begint over "staatsveiligheid" is een wassen neus.
Dit keer is het Translink, de volgende (vorige?) keer is het een of ander medisch lab.. kun je wel focussen op de 'hacker' en zeggen foei, mag je niet doen, maar dat blijft IMO toch afleiden van het echte probleem.
Misschien moet hij dan ook het echte probleem aantonen door bij zo'n medisch lab binnen te wandelen. Maar nee, in plaats daarvan kiest hij ervoor om een lek te blijven misbruiken op een manier waarop hij er financieel voordeel uithaalt.
Geheel mee eens. Doorgaan is niet handig. Ik vind ook als je als melder ook voorzichtig moet omgaan met dit soort situaties. Vandaag ook nog een lek gemeld bij een plek waar je heel gevoelige data beheerd. Nu valt het lek mee, maar het vaak in ieders belang dit netjes te doen. Ik snap wel de frustratie, want heel vaak word je ook niet serieus genomen. Maar vind het dan niet nodig om de wet te overtreden, zeker na waarschuwing. Als een bedrijf je enorm oneerlijk heeft behandeld, en je schade hebt geleden waar niet tegen op te boksen valt, dan kan ik een soort actie als dit begrijpen... In mijn geval de NS, maar ik denk er niet over om dit te doen (ook al weet ik dat het kan...).

En dan brengt het ook nog je geloofwaardigheid in het geding... onhandig. Hij had het beter kunnen proberen aan te tonen dat er iets mis is bij defensie dan, en dat daar hoger opspelen en vragen voor een opdracht. Had productiever geweest.
Eens, er bestaat een moment waarbij je punt bewezen is, besproken is, maar waarbij het herhaaldelijk aantonen (vooral in dagelijks gebruik) weinig toevoegt. Om er dan jaren lang mee door te reizen lijkt vooral persoonlijk gewin.

Ik denk dat meneer er beter aan had gedaan om dit probleem te melden, met de vermelding dat na enige tijd een paper o.i.d. wordt gepubliceerd over hoe dit lek werkt. Ik zou dan niet zover gaan om dan het hele stappenplan van A-Z te faciliteren, maar als je kan aantonen dat deze compatible kaartjes voor een habbekrats te koop en te programmeren zijn, dan is wederom het punt weer gemaakt.

Maar ik ben zelf geen beveilingsspecialist die de legal kant van deze business door en door kent. Echter dit zou mijn gezonde verstand vertellen om te doen, enerzijds om een bedrijf gelegenheid te geven tot reageren/patchen, maar ook een stok achter de deur mits alles binnen wettelijke kaders blijft.

En dat een organisatie te linken valt met defensie vind ik een pure drogredenatie. Meestal werken er meerdere personen bij bedrijven ;) , dus dat 1 product/afdeling "ondermaats presteert" wilt niet zeggen dat dit direct voor alle andere producten geldt. Laat hem dan een specifiek probleem aanwijzen.
In het verleden als de media dit soort dingen onderzocht, checkten ze altijd dubbel in,

1x legitiem met een OV pas
1x met de nep pas

Prima mogelijkheid om zo elke zoveel maanden te kijken of ze er iets mee gedaan hebben.
Translink zegt een "passende beloning" uit te keren. https://www.ov-chipkaart.nl/responsible-disclocure
We zijn blij met iedereen die ons helpt om onze dienstverlening te optimaliseren. Als dank daarvoor ontvang je voor gemelde kwetsbaarheden, die daadwerkelijk door ons zijn verholpen of leiden tot verandering van de dienstverlening, een passende beloning. Translink beslist of je hiervoor in aanmerking komt en wat de grootte van de beloning is. Zijn er meerdere melders voor dezelfde kwetsbaarheid? Dan is de beloning voor de eerste melder.
Ze hebben de bug jaren lang niet gefixt en ook geen beloningen uitgekeerd (voor zover ik weet).
Dat komt toch overeen met wat ze zeggen? Ze hebben dit lek niet verholpen en het heeft niet geleid tot verandering van de dienstverlening.

En voor degenen die zeggen dat dit flauw is: het is al vanaf het begin af aan bekend dat er lekken in het inchecksysteem zitten. Leuk om nog een keer aan te tonen, maar dat doe je dan 1 keer en dan is het punt wel gemaakt. Een aantal van die lekken zijn gewoon een bewuste afweging geweest: kosten van een waterdichte incheck versus de kosten van misbruik, en ook de impact van misbruik versus gebruiksvriendelijkheid van het systeem, zoals de snelheid van het "biepje" bij de incheckpaal.

[Reactie gewijzigd door bwerg op 21 augustus 2025 00:06]

Je doet hier de aanname dat de beste man een lek heeft gevonden dat al lang gevonden was.

Ik denk niet dat dat het geval is. Het lek van jaren geleden (209) was gebaseerd op de mfare classic. Translink heeft die vervangen door een chip die die kwetsbaarheid niet heeft. Aangezien je of chipkaart een beperkte geldigheid heeft van 5 jaar zullen alle kwetsbare kaarten ondertussen wel onbruikbaar zijn. In 2013 is er nog een mogelijke hack geweest, maar daar heb ik weinig echt bewijs voor gezien.
edit:
ik weet niet zeker of de geemuleerde chip is ingevoerd. Misschien heb je wel gelijk



Laat mijn mijn kennis is oud er zijn echt nog zoveel lekken gevonden dat de kans vrij groot is dat je het het bij het juiste einde hebt, we kunnen het alleen jammer genoeg niet verifiëren ( en dan bedoel ik jammer omdat ik echt nieuwsgierig ben wat ie gedaan heeft.)

[Reactie gewijzigd door kaaas op 20 augustus 2025 17:46]

Dat is waar, al is het wel flauw dat Translink niet op zijn minst een bedankje stuurde of *iets* van een antwoord. Maar de verdachte is wel veel te ver gegaan, dus ik vind de straf passend.
De politie had de man eerder opgedragen te stoppen, maar dat deed hij niet.
Ik vind dan een voorwaardelijke boete van 2000 euro te weinig. Je bent gewaarschuwd door te politie en toch ga je door.
Nee, het echte nieuws is: Translink is gewaarschuwd en doet er niets aan: "Zijn eerdere meldingen via het responsibledisclosureprogramma van het bedrijf en een melding via de veiligheidsregio leverden geen reactie op". Translink is gewaarschuwd door die meneer en toch gingen ze door...
Het probleem is niet te fixen. Het uitgangspunt bij de ov-chipkaart was, dat de kaartlezers geen directe internetverbinding nodig hadden. Vooral bij bussen was dat destijds een probleem. De kaartlezer in de bus moet dus uitgaan van het saldo dat de kaart zelf rapporteert.

Combineer dat met een slecht beveiligde (lees: goedkope) kaart en je hebt een recept voor fraude. Kaartlezers en incheckpalen hebben ook nog eens een zeer beperkte capaciteit voor de blacklist, dus je kunt niet alle kaarten waar misbruik mee wordt gepleegd, op de blacklist zetten.

Het is dus niet een kwestie van 'het probleem oplossen', want het probleem is inherent aan de gekozen infrastructuur. Als je dit wil oplossen, dan moet je alle ov-chipkaarten vervangen en ook alle kaartlezers en incheckpalen, al zullen die laatste waarschijnlijk wel softwarematig kunnen worden aangepast. Het is een gigantische operatie die nooit opweegt tegen de kosten van die paar mensen die zwartrijden.
Kortom: het systeem van translink deugt fundamenteel niet. Een internetlink verwachten lijkt me inderdaad niet realistisch, dus je moet gegevens op de kaart zelf bewaren. Maar je zou toch op zijn minst een fatsoenlijke versleuteling verwachten en die zit er kennelijk niet op - vandaar dat er nu kennelijk inderdaad een ander systeem komt. Natuurlijk waren er met de strippenkaart ook fraudemogelijkheden, maar hier lijkt het toch wel bijzonder slecht opgelost.
Ze hebben er denk ik op gegokt dat het wel zou meevallen met het misbruik, en waarschijnlijk is dat ook zo. Want je hoort niet zo vaak van dit soort gevallen.

Versleuteling is wel mogelijk op dit soort draadloze kaarten, maar vereist een extra microprocessor en extra energie om deze te voeden. Dat maakt de kaart duurder, dat is vermoedelijk de reden dat hier niet voor gekozen is.

Wat je nu ziet gebeuren, is dat Translink probeert mee te liften op de bankpassen. Die zijn al goed beveiligd en contactloze bankpassen zijn uitstekend bruikbaar om in en uit te checken bij het ov. Totdat... een bank als Revolut verzint dat het handig is om wegwerp-bankpassen mogelijk te maken, in dit geval is dat bedoeld om creditcardfraude te voorkomen als je een aankoop wilt doen bij een online winkel die je niet vertrouwt met je creditcardgegevens.

Je maakt een virtuele creditcard aan, doet je aankoop en pleurt de kaart weer weg. Dat is nu ook ontdekt door de ov-fraudeurs, je checkt in met een virtuele bankpas, bij controle laat je die scannen zodat je gewoon ingecheckt staat en bij aankomt pleur je de kaart weg, zodat het bedrag niet afgeschreven kan worden. Om deze reden kun je momenteel niet inchecken met virtuele passen van Revolut, er wordt nagedacht over een oplossing.
Alleen is het hebben van een lek, in dit geval, waarbij geen persoonsgegevens zijn gemoeid, geen misdrijf.
Fraude is wél een misdrijf. Dat je weet hoe je een slot moet kraken - omdat er een kwetsbaarheid in zit - geeft geen vrijspel om vervolgens deze sloten en masse te blijven kraken.
Ik vind dan een voorwaardelijke boete van 2000 euro te weinig.
Ik vind het kwalijker dat Translink de kwetsbaarheid blijkbaar niet tijdig gefixed heeft.
Dit kan net zo goed een kostenafweging zijn. Als zwartrijden door deze oorzaak 1000 euro per dag kost en het fixen kost 3000 euro per dag, even simpel verwoord, dan is er bedrijfsmatig helemaal geen reden om deze kwetsbaarheid te fixen. Dan is het effectiever om het lek te laten bestaan en op misbruik te handhaven, voor zover dat lukt. Precies wat hier nu dus gebeurt. Er zijn, voor zover bekend, ook helemaal geen derde partijen die hier last van hebben (lekken van persoonlijke informatie o.i.d.) waardoor TransLink hun beslissing hierover publiek zou moeten maken.

Dit is een beetje alsof iemand twee jaar lang boodschappen jat om zogenaamd te laten zien dat de beveiliging van de AH beter moet. Mooie smoes, maar dat is gewoon het afschuiven van de eigen verantwoordelijkheid om geen strafbare dingen te doen.
Je begrijpt dat het laten fixen geen doorlopende kostenpost is en dat je vrij rap uit de kosten bent nadat het gemaakt is, als één fullstacker er een week mee bezig is..?
Doe eens een gok waar de "even simpel verwoord" op slaat. 😉 Ik kan ook gaan uitweiden over hoe het management samen met de techeuten over 20 sessies en na twee proof-of-concepts een uitgebreide evaluatie doen om tot een afweging te komen, maar dat is nogal speculatief, en voor het punt niet heel relevant.

De verwachte kosten van misbruik zijn X, die van een waterdichtere oplossing zijn Y, en X<Y. Dat is het.

Als je denkt dat één persoon dit in één week oplost staan de beste stuurlui aan wal. Richt effe een concurrent van Translink op, die concurreer je er schijnbaar heel makkelijk uit.

Je zegt het alsof dit een domme SQL-injectie is. Er is genoeg bekend over de opzet van de OV-chipkaart, en dat gebruiksvriendelijkheid en verwerkingssnelheid, kosten en beveiliging elkaar bijten, en dat er geen perfecte oplossing is. Even in een weekje alle problemen oplossen is totaal onrealistisch. Waarmed ik niet wil zeggen dat Translink nou zo'n briljante dingen doet, maar het andere uiterste is ook wat simplistisch.

[Reactie gewijzigd door bwerg op 21 augustus 2025 08:20]

Even: jij bent toch degene die concreet nummers in de mond neemt (respectievelijk 1K vs 3K per dag aan schade en mitigerende maatregelen, zonder daar een eindpunt aan te knopen)? Waar baseer je eigenlijk deze aanname op? Verder lijk je alleen maar uit de losse pols te schieten om maar -ten overvloede- te verduidelijken dat het allemaal niet zo simpel is, om vervolgens door te blijven gaan met absurde versimpelingen en drogredeneringen. Ik doe namelijk helemaal niet alsof het een domme SQL-injectie is. Ik stel helemaal niet dat alle problemen in een weekje op gelost zijn. Ik ben er niet zo zeker van dat dit louter een kostenafweging geweest is en áls dat zo is, is het een domweg verkeerde beslissing geweest als je 't mij vraagt. Maar goed, ik heb het idee dat dit je nogal hoog zit.
Ik zeg als en even simpel gezegd, de cijfers zijn duidelijk een voorbeeld om het punt te maken dat dit gewoon een afweging kan zijn. Niet dat dat de daadwerkelijke kosten zijn. Kom op zeg, dat is toch wel duidelijk?

En dat er afwegingen zijn waardoor niet alles waterdicht is is in het algemeen bij de OV-chipkaart ook heel vaak het geval, dit soort problemen is al honderd keer in het nieuws geweest en toegelicht.

Dat er geen doorlopende kostenpost is is net zo goed een simplistische aanname, en waarschijk een foute.

[Reactie gewijzigd door bwerg op 21 augustus 2025 08:46]

Maar goed, ook jij bent dus geen insider bij Translink die intrinsieke kennis heeft over de gevolgde procedures en ontwikkeltraject, en wat de grondslag is geweest voor het domweg negeren van de melding. Lijkt mij een level playing field voor ons beiden.
Behalve dat ik helemaal nergens stel dat ik weet over hoe dit bij Translink gebeurd is. Ik zeg alleen dat de reacties "ze hadden dit moeten fixen, wat slecht" zonder kennis van zaken te kort door de bocht zijn.

Zolang derden geen last hebben van deze hack (geen lekken van persoonlijke informatie van medewerkers, gebruikers, etc.) en zowel de gevolgen als de mitigatie van een hack puur voor rekening van Translink zijn kun je van hun keuzes weinig onderbouwd van vinden.
Klopt, ik zeg ook dat we beiden gissen, alleen jij wat stelliger in de verdediging van Translink heb ik het idee.

Er valt overigens genoeg te vinden van het CVD-beleid van Translink. Ik vraag mij af of je de gevolgde strategie ook prima vindt als het niet gaat om gratis reizen maar om een overheidsportaal waar subsidie-aanvragen afgehandeld worden.
En wanneer de fix betekent dat je alle kaarten en alle terminals moet vervangen?
Dan is de enige bedrijfseconomische beslissing die je kan nemen de fix meenemen in de volgende modernisering van het systeem en deze geleidelijk uitrollen.
Het gaat al fout bij hoe Translink dit heeft aangepakt door domweg de beste man meerdere keren te negeren. Daar zijn volgens mij twee redenen voor: 1) het probleem is dermate groot (c.q. onoplosbaar) dat Translink bestaansrecht verliest of 2) dat Translink dacht "ach, zo'n vaart zal het allemaal niet lopen". Ook zijn er geen details bekend over wat nou precies de kwetsbaarheid is dus filosoferen over de omvang is niet zo spannend.

Indien (1) zal je hulp vanuit de overheid moeten aanvragen en de gehele oplossing uit handen moeten geven wegens het opleveren van een totale wanprestatie op kritieke infrastructuur. Indien (2) is louter spot en hoon het deel voor Translink, en een dikke rode kaart voor continuïteit als je 't mij vraagt.
3) de kosten van de oplossing zijn hoger dan de verwachte misgelopen inkomsten? Als dat "spot en hoon" oplevert heb je gewoon geen verstand van bedrijfsvoering.

Bovendien is hem eerder opgedragen te stoppen, en de politie gaat er niet uit zichzelf achter komen dat deze man correct ingecheckt was, dus ze hebben hem helemaal niet genegeerd.
Ja, jij wil dat accepteren als helemaal prima. Ik vind dat onverantwoord en ik verbaas mij over hoe gemakszuchtig je hier over denkt. Carte blanche voor waardeloos product technisch gezien én een CVD-beleid dat waardeloos is, zolang de schade goedkoper is dan de oplossing.
waardeloos product technisch gezien

...

zolang de schade goedkoper is dan de oplossing
Een bedrijf is er om winst te maken, niet om technisch heel mooie producten te hebben. Het is voor de perfectionistische techneut leuk als die twee dingen samen gaan, maar zo niet, dan heeft de techneut pech.

Dat is niet onverantwoord, dat heet een bedrijf runnen.

Als dat inderdaad de afweging was heeft dat niets met een CVD-beleid te maken.

[Reactie gewijzigd door bwerg op 21 augustus 2025 11:49]

Maar welke melding heeft deze man gedaan?

Heeft hij uitgebreid uitgelegd wat het probleem was en hoe hij de kwetsbaarheid kon gebruiken om gratis te reizen? Heeft hij ze enkel gezegd dat het een waardeloos en lek kutsysteem was? Iets er tussenin?

Niet elke melding is een melding waar iets mee gedaan kan worden en voor publieke systemen zijn meldingen waar wel iets mee gedaan kan worden (of die op z'n minst duidelijk zijn) zwaar in de minderheid tussen de rants en scheldpartijen.
Hij heeft melding gedaan van het lek, meer informatie geeft dit bericht niet. Ik neig steek naar het voordeel van de twijfel als het gaat om volledigheid en ik begrijp niet zo goed dat jij hem afvalt in het voordeel van Translink, zeker gezien de consequenties van het probleem.

Ook het argument kosten fix versus kosten misbruik; hoe lang denk je dat dit stand blijft houden als details publiek geheim worden? Absurd en onhoudbaar.
Ik val niemand af. Ik stel een vraag, waarvan het antwoordt mogelijk een verklaring kan geven voor het gebrek aan actie/ terugkoppeling van Translink. Óf mogelijk juist aantoont dat Translink laks is geweest.

Ik begrijp niet zo goed waarom jij het voordeel van de twijfel wilt geven aan een veroordeelde crimineel.
Maar als het een kostenafweging is, moet je personen ook niet gaan aanklagen wanneer ze het misbruiken. Daar heb je immers voor gekozen.
Daar heb je immers voor gekozen.
Nou, nee. De wet verbiedt iedereen om strafbare feiten te plegen. Misbruik maken van een (beveiligings)lek is nog steeds strafbaar, ook al is dat lek bekend. Er is een beetje een grijs gebied als het gaat om het aantonen van een beveiligingslek (om dat aan te tonen moet je wellicht een strafbaar feit begaan), maar zolang je dat netjes meldt (wat de veroordeelde dus ook meerdere keren heeft gedaan), wordt dat eenmalig gedoogd. Het probleem hier is dat de veroordeelde meerdere malen misbruik heeft gemaakt van de kwetsbaarheid. Je kunt zeggen "dat was om aan te tonen dat het lek nog steeds bestond", maar daar gaat de rechter -terecht- niet in mee. Je mag het één keer aantonen en wordt het onder bepaalde voorwaarden door de vingers gezien, daarna hou je je gewoon aan de wet. Er is dus wel degelijk een verschil tussen incidenteel een kwetsbaarheid aantonen en structureel misbruik maken van die kwetsbaarheid, en dat is precies waar de rechter op heeft be- en uiteindelijk veroordeeld.

[Reactie gewijzigd door Polydeukes op 20 augustus 2025 16:13]

Ik ben het compleet met je eens.
Omdat dat motto dat ik kwetsbaarheden op spoor kan ik elke voordeur gaan lopen openen, omdat elke slot slechts 1 tot 5 minuten inbraak vertragend werkt.
Ik kan dan niet bij de politie aankomen dat ik de kwetsbaarheid wou aantonen xD
Bij de lokale boer hebben ze dozen met eieren/fruit staan waar je zelf twee euro voor in een gleufje moet gooien. Die mag ik dus allemaal gratis meenemen zonder gevolgen "want daar hebben ze voor gekozen"?

En zo kan ik nog wel tig voorbeelden verzinnen.

Nee dus. Zo werkt het leven niet. Je maakt gebruik van een dienst van een ander, daar horen verplichtingen bij, met bijbehorende gevolgen als je die niet nakomt. Geen "ja maar jullie doen zus of zo"-smoesjes.
Dit is een beetje alsof iemand twee jaar lang boodschappen jat om zogenaamd te laten zien dat de beveiliging van de AH beter moet. Mooie smoes, maar dat is gewoon het afschuiven van de eigen verantwoordelijkheid om geen strafbare dingen te doen.
Nou niet echt.

Maar voordat die discussie echt gevoerd kan worden hebben we meer informatie nodig.

Ik kan mij prima voorstellen dat wanneer hij het euvel meld hij één keer in de zoveel tijd checkt of de kwetsbaarheid/het euvel al gefixt is.


"Jaren" klinkt als meer dan 365 dagen, maar als hij 1 keer per jaar de check doet en hij doet die drie jaar achter elkaar, klopt die uitspraak ook.


Is alleen een beetje vreemd dat hij door de politie eerst gevraagd is om te stoppen en toch doorgaat. Dit doet vermoeden dat hij toch veelvuldig de kwetsbaarheid gebruikte, maar zonder meer informatie weten we dat niet.
Hij is niet veroordeeld voor het 1 keer per jaar inchecken om te testen, hij is veroordeeld voor reizen zonder geldig vervoerbewijs. Dat hoef je niet te doen als je het systeem test.
Klopt, je kan met een echt kaatje en je valse kaartje tegelijk reizen. En een keertje is genoeg, je hoeft het niet jarenlang te doen.
Dat hangt van je "test" af toch? B.v. gaan de poortjes open bij het aankomende station? Maar zo zijn natuurlijk nog veel meer scenario's te bedenken...
dat had best kunnen zijn, maar had translink niet gewoon contact kunnen opnemen in dit geval en dit gwn keurig afhandelen? Ergo op zijn minst een reactie dus. Die boete zou door twee gedeeld mogen worden :)
De boete is voorwaardelijk, dus het maakt niks uit of de boete door 2 gedeeld wordt of met 10 vermenigvuldigd. Het komt pas in geding als de persoon voor de 2e keer veroordeeld wordt voor dit vergrijp vooropgesteld dat dit de omschrijving in de uitspraak van de rechter is, het zou algemener kunnen zijn, of exacter.

We weten ook nog niet of de boete die voorwaardelijk is opgelegd in verhouding staat met de "schade" die is aangericht en nog mogelijk aangericht gaat worden mocht de persoon doorgaan. Ik kan me zo voorstellen dat de directe pakkans gering is.

Stel dat de persoon in 3 jaar tijd voor 10k gereisd heeft, dan zou ik me zo voor kunnen stellen dat een voorwaardelijke 2k boete geen enkele indruk maakt en dat de persoon gewoon doorgaat, omdat hij, zelfs als hij voor de 2e keer wordt veroordeeld, nog steeds 8k+ "winst" heeft.
Ik weet niet of een normaal persoon bij een veroordeling van "winst" zou spreken? Voor 100k zou ik dat risico nog geen eens willen lopen.
Ik denk dat een "normaal" persoon deze vorm van fraude niet gepleegd zou hebben.

Maar in deze hebben we het niet over een "normaal" persoon, maar een veroordeelde fraudeur. Dat "soort" personen kijken iets anders tegen de wereld aan dan "normale" personen denk ik.

Ik probeer het te bekijken vanuit het oogpunt van een persoon die opportunistisch is en geen geld betaald voor iets dat wel geld kost. En vanuit dat oogpunt denk ik dat het rekensommetje 10k-2k=8k+ wel opgaat.
Klopt ook niet helemaal. Het fixen is een eenmalige kost. Bijvoorbeeld 100 dagen de door de 3000 euro die jij noemt heeft een totaal plaatje. Op de lange termijn verdien je hem terug.
Behalve dat dit ook de pasjes en paaltjes duurder kan maken, en de complexiteit van het systeem kan verhogen, wat het onderhoud duurder maakt. Dat zit hem dus ook in variabele kosten.

Maar ben niet bang, elke professionele toko kan variabele en vaste kosten vergelijken. Die keuzes heeft elk bedrijf.

[Reactie gewijzigd door bwerg op 20 augustus 2025 23:56]

Het OM eiste 5000 boete waarvan 3000 voorwaardelijk maar daar ging de rechter niet in mee. Ik kan de volledige uitspraak echter niet direct vinden. De samenvatting in het nieuws concludeert dat met de voorwaardelijke boete de rechter wil aangeven dat misbruik maken van een lek dat je tevergeefs probeert te laten repareren niet door de beugel kan.

Het bewijs van zeer mager. Ze hebben twee bewijsstukken dat hij daadwerkelijk misbruik van het systeem hebben gemaakt. Als de systemen van Translink Systems niet incompetent waren, zou de boete waarschijnlijk een stuk hoger zijn uitgevallen.

[Reactie gewijzigd door GertMenkel op 20 augustus 2025 15:26]

Als het zo kritisch was als de misbruiker zegt, dan had ie na 90 dagen een paper met proof of concept moeten publiceren. Zomaar een paar JAAR misbruik van maken? Dan is je motivatie toch niet zo zuiver.
Het kost 1000 euro per dag tot iemand anders de kwetsbaarheid vindt, deze publiek zet en iedereen het doet. Dan kost het opeens 1.000.000 euro per dag ipv 1000 euro per dag.
Dit kan net zo goed een kostenafweging zijn.
Daarmee geef je impliciet toestemming om het te misbruiken
Dus als het slot van jouw voordeur niet goed is en je wilt hem vanwege de kosten niet laten vervangen, dan mag ik meermaals bij jou inbreken? Je hebt me volgens jouw argument immers impliciet toestemming gegeven.
Volgens mij heeft de rechter nou net bepaald van niet.
Als zwartrijden door deze oorzaak 1000 euro per dag kost en het fixen kost 3000 euro per dag, even simpel verwoord, dan is er bedrijfsmatig helemaal geen reden om deze kwetsbaarheid te fixen.
Een bekend gat laten zitten levert ook nog eens het risico op dat zo'n hack viral gaat en je met de broek op de enkels moet toekijken hoe massa's mensen 'ineens' gratis reizen terwijl je wist dat de beveiliging niet klopte lijkt me geen handige actie.
Dat klopt, maar dat houdt nog steeds niet in dat je mag stelen.

Als ik mijn fiets niet op slot zet en jij rijdt er mee weg dan is het nog steeds diefstal. Ongeacht of ik nalatig ben geweest met de beveiliging.
Natuurlijk is het diefstal.

Ik bedoel meer dat je door een gat te laten zitten een enorm risico op escalatie neemt en het niet domweg om de kosten van fixen vs misbruik op dit moment gaat.
Een bekend gat laten zitten levert ook nog eens het risico op dat zo'n hack viral
En ook dat risico is aan Translink zelf om af te wegen.

Zoals anderen al aangeven, er zijn veel meer mogelijke gaten en meer factoren die meespelen. Er wordt hier gedaan of het makkelijk is om een perfecte oplossing te kiezen, maar die perfecte oplossing is er niet.

[Reactie gewijzigd door bwerg op 20 augustus 2025 23:36]

Wat is tijdig?

Wanneer kwamen ze erachter? Hoe lang is de oplostijd? Om die conclusie te trekken hebben we meer context nodig. Het enige wat we weten is dat de dader het al vanaf 2020 wist.
Het enige wat we weten
We weten ook:
Zijn eerdere meldingen via het responsibledisclosureprogramma van het bedrijf en een melding via de veiligheidsregio leverden geen reactie op.
Ja, maar we weten niet wanneer die meldingen gedaan zijn? In 2020 of twee weken voor de rechtzaak?
En we weten:
De politie had de man eerder opgedragen te stoppen, maar dat deed hij niet.
Het is niet aannemelijk dat dat allemaal een paar weken voor de rechtszaak* was.
Ook is in ieder geval achteraf achterhaald dat ie het al in 2020 deed.
Maar het is en blijft een aanname want je weet het helemaal niet. Dus er valt weinig zinnigs over te zeggen.
We mogen drie jaar toch wel niet tijdig noemen lijkt me.
Niet heeft gefixed, maar nog erger, ook niet eens heeft gereageerd op de melding via het responsibledisclosureprogramma.

Ze vinden het wel serieus genoeg om de politie erop af te sturen maar niet om te reageren op de melding en dit op te lossen.
Dat kan toch? Als jouw buurman meldt dat jouw dakraam open staat, is dat open raam toch jouw verantwoordelijkheid, en geeft het hem geen recht om zich (meerdere keren) toegang te verschaffen tot jouw huis? "ja maar ik heb wel 3 keer gezegd dat je raam open staat" Ja, nou en? Geeft dat jouw buurman het recht om de wet te overtreden? Misschien heb je andere prioriteiten dan dat raam sluiten, en is de buurman de enige die zicht heeft op het open raam en is het risico verder klein dat anderen inbreken via dat raam. Kan allemaal en is de verantwoordelijkheid van in dit geval Translink om de afweging te maken. De buurman/veroordeelde moet zich gewoon aan de wet houden. Punt.

[Reactie gewijzigd door Polydeukes op 20 augustus 2025 16:02]

Ik zeg ook niet dat ik het gedrag van die man goedkeur. Ik keur het ook gewoon af wat hij vervolgens heeft gedaan.

Als mijn buurman zegt dat mijn dakraam open staat terwijl dat een beveiligingsrisico is, dan zeg ik "bedankt buurman, ik ga ernaar kijken".
Dat ze niet eens hebben gereageerd hierop maar wel de politie erbij halen laat wel zien dat dit prioriteit heeft maar zeker de verkeerde.
Ze hebben de politie erbij gehaald omdat, om mijn analogie te volgen, de buurman meerdere keren in jouw huis stond. Wat zou jij doen, ondanks een wet die inbraak verbiedt en meerdere keren een waarschuwing "kom mijn huis niet binnen"? Tuurlijk is het fatsoenlijk om je buurman te bedanken, maar dat is geen (wettelijke) plicht. Het is wel verplicht om je aan de wet te houden. Gebrek aan fatsoen is geen argument om de wet te mogen overtreden.
Misschien is het niet echt te fixen.

het is al bekend dat de echte verwerking van de betaling pas in de nacht gebeurd, achteraf. Pas dan kan ontdekt worden dat het saldo op de kaar niet klopt met de backoffice administratie.

De kaart zelf heeft blijkbaar geen autorisatie, en om dat te fixen moet je dus alle kaarten die geaccepteerd wel veranderen. Een veel grotere operatie dan wat deze ene klant kan uitgeven in een jaar bij NS. dus alleen te fixen door heel veel kaarten in te trekken...

Er zijn daar wel meer gaten zoals de virtuele kaarten die voor de nachtverwerkning verwijderd worden, een veel groter gat dat pas recent opgelost is door ze allemaal te blocken.

Voorwaardelijke straffen zijn maar een raar verschijnsel vind ik. "Foei niet meer doen, anders krijg je alsnog een boete hiervoor".
Ze gingen revolut kaarten uitsluiten, dus dan kunnen ze ook dit soort kaartjes uitsluiten.
Maar wat als deze kwetsbaarheid zit in alle uitgegeven OV-Chipkaarten, waarvan de meesten een geldigheid van 7 jaar hebben? Dan kan je die niet op één moment allemaal ongeldig verklaren.
Eens, en ik snap dat het ook een kostenoverweging kan zijn. Ik vind de boete van 2000 eerder toereikend, juist omdat Translink de kwetsbaarheid niet (tijdig) gefixed heeft, en ook gewaarschuwd is. Goed, ik weet niets van welke vorm van recht, dus mijn reactie is enkel onderbuikgevoel.

Ik denk overigens dat veel van de publieke infrastructuur fragieler op sommige vlakken is dan men denkt. Maar dat geldt voor alles denk ik... onrust zaaien met een vervelend belletje kan ook... Ergens ben ik heel benieuwd wat er gebeurd als je een USBKill in USB aansluiting stopt van een vliegtuig of trein... maar ik zoun iemand dit willen aanraden om te doen.
Helemaal mee eens! Probeer maar eens 3 jaar lang zwart te rijden en kijken hoe veel boetes mag krijgen. Het is ook nog eens voorwaardelijk. Het kan dus ook minder worden.
Voorwaardelijk betekent dat je als een bepaalde periode dit niet weer flikt je dan ook geen boete hoeft te betalen, hij komt inderdaad heel goed weg!
Nee.

Een voorwaardelijke straf is een straf die bij herhaling alsnog krijgt opgelegd.
Voorwaardelijk betekent dat je de straf alleen hoeft te doen als je nog een keer voor een vergelijkbaar vergrijp voor de rechter komt en dan moet de rechter dat ook nog eens expliciet zeggen dat ze de voorwaardelijke boete omzetten naar een die betaald moet worden.

Het is dus 0 euro tot een volgende veroordeling.
Een voorwaardelijk opgelegde geldboete hoeft in principe niet betaald te worden, zolang je je gedurende de proeftijd aan de gestelde voorwaarden houdt. De rechter legt een proeftijd op en als je binnen die periode geen nieuw strafbaar feit pleegt en je aan eventuele bijzondere voorwaarden voldoet, vervalt de geldboete. 
Niet dat ik het perse met je oneens ben, maar wat zou dan wél een passende straf zijn?

Ik vind het jammer dat er zowel bij dit artikel als het artikel in de de IJmuider Courant geen linkje naar de uitspraak is opgenomen (zodat je de overweging van de rechter volledig kunt teruglezen), maar in ieder geval staat in het oorspronkelijke artikel wel dit:
Het Openbaar Ministerie (OM) stelde dat niet alle verdenkingen tegen K. kunnen worden bewezen maar de officier van justitie vond wel dat K. de kaders voor ethische hackers ernstig heeft overschreden.
Je kunt alleen straf krijgen voor wat kan worden bewezen. Er waren wel verdenkingen, maar niet voldoende sluitend bewijsmateriaal om voor al die verdenkingen een straf (die daarmee netto hoger zou uitvallen) te kunnen eisen.
De eis van het OM was ook €5000,-, waarvan €3000,- voorwaardelijk. Dus zo veel is de rechter daar niet vanaf geweken.

[Reactie gewijzigd door Tc99m op 21 augustus 2025 09:39]

Nog even gezocht bij rechtspraak.nl, maar niks kunnen vinden. Maar het is nog maar kort geleden, dus de uitspraak kan nog met een paar weken online komen. Lang niet alle uitspraken komen overigens online.
De bewijslast voor een voorwaardelijke straf is hetzelfde als voor een onvoorwaardelijke straf.

Pas wanneer de schuld vaststaat kan er een straf opgelegd worden.
Een waarschuwing van de politie is geen veroordeling dus waarom zou dan de boete hoger moeten zijn?

Je mag niet stelen wordt vermoedelijk heel vaak gezegd tegen winkeldieven, toch blijft de boete gelijk...

Maar dat het onzin is dat dit een klokkeluiders actie is staat daar dus buiten. Dit was gewoon lekker gratis reizen. En dat is zwartrijden dus boete.
Nee, je waarschuwt iemand niet omdat je vermoedt dat hij dit doet. Dit zou dus betekenen dat iedere gebruiker een waarschuwing heeft gehad?

Een winkeldief krijgt gewoon een boete en geen waarschuwing.
Er staat nergens dat hij gebruik gemaakt heeft van gratis reizen, "Hij kon.." is wat anders "Hij reisde…"

Zelf vind ik dar translink op de vingers getikt moet worden en een boete moet krijgen. Er was dus een lek, die niet gedicht werdt.
Volgens mij is de tekst vrij duidelijk. Hij heeft gratis gereisd. "Hij kon" slaat op het feit dat hij de kwetsbaarheid gevonden had. Daarom staat ervoor "daardoor"

Als ik jouw keuken raam open zie word ik toch ook niet veroordeeld omdat ik naar binnen kon?
Waarom zou je een boete moeten krijgen als dat lek alleen Translink zelf treft, en niet zijn reizigers/medewerkers/etc.?

Gaan we ook iedereen die de poort van zijn tuin niet op slot heeft een boete geven? Of mag iedereen lekker zelf weten wat zijn/haar afwegingen daarin zijn?

[Reactie gewijzigd door bwerg op 21 augustus 2025 00:00]

Omdat hij van het lek misbruik heeft gemaakt door gratis te reizen jarenlang, misschien wel dagelijks en daardoor Translink dus financiële schade heeft. Je kan het zien als computervredebreuk met de bijbehorende schade. Ethisch hacken is zonder schade, dit is enorme schade en profiteren.
Aangezien niet bekend is hoeveel misbruik hij in die jaren werkelijk gemaakt heeft kan niemand oordelen of die 2000 teveel of te weinig is. Reisde hij op deze manier elke dag? 1x per week? 1x per maand? En de rest vd tijd gewoon legaal? Ik hou me daarbij in het midden want we weten dat gewoon niet.

Ik kan me voorstellen dat hij na de meldingen van de kwetsbaarheid nog af en toe geprobeerd heeft om te zien of het is opgelost. Zeker aangezien Translink blijkbaar niet heeft gereageerd. Dat vind ik op zn minst heel slecht van Translink

Als hij dit stelselmatig zoniet dagelijks wilde misbruiken voor zn eigen gewin, en de melding maar heeft gedaan om zich in te dekken, sja dan vraag je ook wel om problemen.

Dat hij door ging na sommatie om te stoppen snap ik eerlijk gezegd wel, er zit zeker wat in om Translink te blijven triggeren voor een bugfix!
Een boete is geen vergoeding van de mogelijk geleden schade.

De hoogte van de boete is dus alleen relevant voor de veroordeelde, of hij voor zijn gemaakte reizen meer of minder dan € 2.000 betaald zou hebben.

Maar met deze veroordeling zou Translink de reiskosten alsnog kunnen claimen. (Wanneer ze deze kunnen aantonen.)
En waarom reageert zo'n bedrijf als Translink dan niet?

Niet dat het zijn langdurige gebruik goedpraat, maar Translink zit ook goed fout dan.

[Reactie gewijzigd door Menesis op 20 augustus 2025 15:04]

Hoezo? We weten toch niet sinds wanneer Trans link van het probleem weet, alleen sinds de dader ervan weet.
Omdat de oplossing hiervoor een zware aanpassing aan het systeem is die mogelijk gepaard gaat met nieuwe hardware en ze geen geld willen betalen tenzij ze echt moeten.

Helemaal nu OVPay eraan zit te komen en het oude systeem uiteindelijk zal worden uitgefaseerd, kan het simpel zijn om te concluderen dat investeren in het oude systeem niet de moeite waard is.

Zolang niemand de procedure voor gratis reizen online zet, zal het ook wel zo blijven. Als deze man inderdaad ethisch hacker was, zou hij gewoon een deadline van een paar maanden kunnen stellen voordat de boel geopenbaard werd. Maar goed, met een partij zo incompetent als TLS zullen ze bij dat soort dingen wel met rechtzaken gaan dreigen.

In dit geval denk ik dat hij dacht "zij willen hun bende niet rechtzetten, dan zie ik niet waarom ik er niet van kan profiteren". Ze hadden hem tenslotte ieder moment kunnen stoppen door hun kapotte systeem te repareren. Mag niet van de wet, maar ik snap de gedachte wel.
Maar wanneer wordt het uitgefaseerd? Ik heb OVPay al getest met de nieuwe, roze kaarten, maar ik kan nog altijd niet volledig daarmee reizen (of op mijn bankpas), zolang NS niet van plan is om mijn Dal Voordeel beschikbaar te maken. Ze hebben meermaals aangegeven geen tijdlijn daarvoor te hebben, maar dat het minstens ná 2026 wordt. In principe kan het dus nog jaren duren voordat het oude systeem is uitgefaseerd.
Volgens officieel plan twee zou de boel twee jaar geleden al weg moeten zijn: nieuws: Nederlandse overheid wil ov-chipkaart in 2023 uitgefaseerd hebben

Het doel was om dit jaar de chipkaart uit te faseren dit jaar, maar dat heeft inmiddels vertraging opgelopen: https://tweakers.net/nieuws/225630/opvolger-ov-chipkaart-loopt-vertraging-op-doordat-samenwerking-met-bunq-stopt.html

Wie weet wat Translink daadwerkelijk zelf geloofde, maar van wat ze naar de media communiceren zijn we al twee deadlines voorbij.
NS heeft recent een pilot brief gedeeld via NS Panel die gestuurd zal worden met een OV-pas, specifiek voor mensen die een NS flex abo hebben. Neem dus aan dat het niet heel lang meer zal duren.
Raar dat ik die dan niet gehad heb en dat ze aan mij dus ook een heel andere tijdlijn gaven…
Grappig dat het een 'Chinese nfc-chip' genoemd wordt. Waarom is het relevant waar zijn NFC chip vandaan komt? Het zou me niks verbazen als de NFC chips van de NS ook in China gemaakt worden.
Er worden in china chips verkocht die afwijken van de standaard. Zo kun je bijvoorbeeld op sommige chips de uid aanpassen waardoor je een pas kunt clonen. Met een officieele chip gaat dit niet.
Waar de chips vandaan komen, weet ik niet, maar volgens dit artikel uit 2012 worden de kaarten door Infineon (Duits bedrijf) gemaakt: https://bits-chips.com/ar...definitief-niet-naar-nxp/
Hij krijgt een voorwaardelijke geldboete van 2000 euro.
Een veroordeling zonder echte consequenties dus. Op zich wel gek als je je al klokkenluider wil opstellen maar toch misbruik blijft maken.
Zolang niemand wat deed bleef ie de klok luiden
Nah. Er is echt een verschil tussen “de klok luiden” en op de pof met de trein reizen zonder je rekening te betalen.
Behalve dan dat als je dat voor het gewin doet, je meestal geen contact opneemt met Trans link...
Hoezo niet? Het lijkt mij namelijk de perfect gefabriceerde alibi.
Dan gaat een brandstichter ook nooit bij het publiek staan kijken naar zijn eigen aangestichte brand, iets wat uit statistieken blijkt juist enorm vaak gebeurd.
Dat doet die brandstichter dan ook niet voor zijn alibi. Dat doet deze omdat hij/zij een pyromaan is - hij/zij houdt van vuur....

Maar buiten dat heb je wel een punt. Melden en daarna veelvuldig gebruiken is indekken.
De klok luiden door gratis te blijven reizen?

Dan kan hij beter de media opzoeken en/of een mooi filmpje/blog maken over hoe de kwetsbaarheid in elkaar zit.
... en voila! Hij staat nu op Tweakers met slechts een voorwaardelijke straf.
Waarschijnlijk wel een strafblad er bij, dan kom je amerika al niet meer in voor de rest van je leven.
Mocht je dat al willen
Het was maar als een voorbeeld, het zijn er meer zoals amerika, australie, engeland, canada, japan en new zeeland. Het kan ook bij een nieuwe baan een probleem geven want je kan niet altijd zo maar een VOG meer verkrijgen.
Maar ja hij was een gewaarschuwd man en door de politie gevraagd er mee te stoppen dus echt medelijden hoeft hij niet te krijgen.

Als hij de boel echt veiliger had willen maken dan had hij na het inlichten van de organisatie ook gewoon alles na een x aantal maanden (om het te laten patchen) openbaar kunnen maken.
Ik heb vaak gekeken naar Border Control en de Nieuw-Zeelandse douane laat mensen met een strafblad wel degelijk naar binnen, maar alleen onder bepaalde voorwaarden: een x-aantal jaar goed gedrag én een hele goede reden (vakantie kan al een goede reden zijn, maar het moet dus wel overtuigend zijn, met een duidelijk (vakantie)plan).

[Reactie gewijzigd door TheVivaldi op 20 augustus 2025 19:20]

Dat ligt wel iets genuanceerder.
Daar heb je wel gelijk in, en meestal reageren we alleen op de informatie die naar buiten komt en we lezen. Er zal ook een hoop informatie zijn die wij niet weten.
Feitelijk is een klokkenluider meestal iemand die mede schuldig is maar bereid is de anderen aan te geven
Dus omdat ik al sinds de jaren 90 illegale films kijk, ben ik feitelijk een klokkenluider? Al 4 decennia. Cool.
Nee, want u heeft zichzelf niet aangegeven bij de politie om voor anderen dit te blokkeren.
Ik zal mezelf echt nooit aangeven bij de politie. Nooit praten met de politie is mijn enige regel in het leven
Zoals in het oorspronkelijke artikel stond: er was te weinig bewijsmateriaal voor een zwaardere/onvoorwaardelijke straf.
Dat is een vreemde redenering.

Eerst moet vastgesteld worden of iemand op grond van het bewijsmateriaal wél of niet schuldig is. Pas wanneer die schuld onomstotelijk vast staat wordt naar de straf gekeken.

Misschien was er wél bewijs dat hij de kwetsbaarheid misbruikt had, maar geen bewijs dat hij dat vaak heeft gedaan. Dat zou nog kunnen. Maar mager bewijs dat hij überhaupt iets zou hebben gedaan kan niet leiden tot een lagere of voorwaardelijke straf, dat kan alleen maar leiden tot vrijspraak.
Wat ik dus bedoel: er werden hem meerdere feiten ten laste gelegd door het OM, dat op basis daarvan een bepaalde straf eiste. De rechter vond niet alle feiten overtuigend bewezen en/of ging niet op alle punten in de redenatie van het OM mee (de volledige uitspraak staat (nog) niet online, dus we moeten het doen met de summiere samenvatting in het artikel in de IJmuider Courant), en legde alleen voor de feiten die in haar ogen overtuigend konden worden bewezen een straf op, die daarmee lager uitviel dan de door het OM geëiste straf.

Ik ben zo vrij geweest dat samen te vatten tot: er was te weinig bewijsmateriaal voor een zwaardere/onvoorwaardelijke straf.
De komende twee jaar kan de veroordeelde het zich niet eens permitteren door rood licht te lopen, want ook dan bestaat het risico dat het OM de uitvoering van de voorwaardelijke straf vordert (in strafrechtelijk jargon: TUL). Dat noem ik een stevige consequentie, die de nodige druk op de veroordeelde legt.
Ik weet al 40 jaar uit handen van de politie te blijven, dus op zich is dat voor normale mensen niet echt een opgave.
Dat hangt ervan af hoe je dat doet? Helemaal geen moorden, inbraken, verkrachtingen etc? Of gewoon geen sporen nalaten?
Door rood licht lopen, laat geen sporen achter. Het ging hier niet over moord en verkrachtingen…
Wanneer je door rood licht loopt terwijl er net een politieagent in de buurt is die zich verveelt kan tot een bekeuring leiden die voor het OM weer voldoende aanleiding zou kunnen zijn de voorwaardelijke boete om te zetten.

Pech kan in een klein hoekje zitten.
Pech zit in een klein hoekje, maar zoals ik zei: ik weet al 40 jaar uit handen van de politie te blijven.
Prima straf lijkt me. Zeker omdat hij al eens gewaarschuwd was, en dan toch stug doorging.
De man wilde naar eigen zeggen 'als klokkenluider' wijzen op de gebrekkige beveiliging van Translink. Zijn eerdere meldingen via het responsibledisclosureprogramma van het bedrijf en een melding via de veiligheidsregio leverden geen reactie op.
Dat is heel vervelend, en zeker niet netjes van Translink.

Echter geeft je dat niet het recht om 3 jaar lang (!) hier misbruik van te maken en het bedrijf en de OV bedrijven hiermee te duperen.

Dat heeft niets meer met klokkenluiden te maken, maar alles met frauderen.
Als een bedrijf zo'n lek 3 jaar lang open laat staan is het stilzwijgend instemmen.
Je bent etisch hacker of je bent niet-etisch hacker. Na een POC heb je als etisch hacker het wel bewezen. Dat kan heel frustrerend zijn, maar de challenge ligt in het breken en aantonen van het systeem, niet het systeem, systematisch te misbruiken.
Je kan het ook gewoon openbaar maken na een jaar in plaats van 3 jaar lang door te misbruiken.
Absoluut niet, er is geen enkele wet die aangeeft dat een bedrijf instemt met het plegen van fraude. Want laten we eerlijk zijn, dat is dit. Niet meer, en zeker ook niet minder.

Dat ze niet reageren is heel slordig, en slecht. Dat is zeer zeker waar. Maar daar zul je toch mee moeten leren leven vrees ik, en niet doorgaan met het misbruik maken van het lek.

Als je het dan toch wil forceren, doe het dan via de juiste kanalen. Desnoods klaag je ze aan oid, zolang je jezelf maar aan de regels houdt.
Hoewel dat wellicht niet heel netjes is, is in dit geval al lang geen spraak meer van responsible disclosure of ethisch hacken.

Bij etisch hacken toon je zoiets aan, meld je het op de plekken waar het gemeld kan / hoort te worden en stop je ermee. Het feit dat hij vervolgens drie jaar zwart is blijven reizen toont aan dat dit allang niet meer bedoeld was om 'iets aan te tonen', maar dat hij er zichzelf gewoon een voordeel mee heeft gedaan.
En wanneer je denkt dat de periode na dat je iets gemeld hebt lang genoeg geduurd hebt, dan kan je altijd nog met je verhaal naar bv. Tweakers gaan.
Ik snap het gevoel, maar dat is niet hoe de wet werkt.

Maar goed, zolang de beste man zich aan de wet houdt vanaf nu, hoeft hij niets te betalen, dus heeft hij ook gewoon gratis kunnen reizen.
Dat is nog maar de vraag.

Na deze veroordeling zou Translink alsnog de vervoerskosten kunnen claimen, mits ze kunnen aantonen wanneer hij gereisd heeft.
Dan zullen ze moeten aantonen hoeveel hij illegaal gereid heeft. Uit een van de weinig bronnen die niet achter een betaalmuur zitten:
De verdediging betwistte een groot deel van de beschuldigingen en wees erop dat er maar beperkt bewijs was: enkel camerabeelden van een incheckactie in juni 2023.
Misschien dat het OM hun taak verzaakt hebben tijdens het verzamelen van bewijs natuurlijk maar als Translink hier serieus over is, zou ik toch wel meer van ze verwachten. Of hun systeem is zo ruk dat ze het niet kunnen bewijzen, dat kan ook natuurlijk.
Het OM en Translink hebben over hetzelfde onderwerp verschillende zaken, met verschillende bewijsvoeringen.

Het OM moet aantonen dat een persoon een overtreding/ misdrijf heeft begaan. Aantonen dat de kaart van de verdachte gebruikt is, is niet voldoende, omdat die kaart uitgeleend zou kunnen zijn. Dat moet het OM ook overtuigend aantonen dat de kaart door de verdachte is uitgeleend met het doel een strafbaar feit te begaan en niet bv. door een huisgenoot is geleend die niets van de illegale handelingen afwist.
Eén keer overtuigend bewijs dat de verdachte illegaal de kaart heeft gebruikt, nadat hem door de politie is gezegd dat niet meer te doen, is al het bewijs dat nodig is voor een veroordeling.

Translink hoeft alleen maar aan te tonen dat de kaart van de verdachte illegaal gebruikt is en de verachte daarvoor de rekening te sturen. Of die kaart alle keren wel of niet door hem persoonlijk gebruikt is maakt daarbij niet uit. Omdat hij de kaart gerepareerd heeft is hij in eerste instantie verantwoordelijk voor het gebruik vaarvan.
Voorwaarde is wel dat Translink het gebruik van de kaart aan kan tonen. Bv. met een ID-nummer van de kaart. Ik verwacht dat ze dat kunnen, want anders hadden ze nooit die camerabeelden kunnen vinden. Ze zullen waarschijnlijk geweten hebben dat de kaart op dat-en-dat tijdstip bij die-en-die paal is gebruikt, waarna gekeken is of er camerabeelden beschikbaar waren van die incheckactie. Dat zullen ze waarschijnlijk voor meer tijdstippen op meer plaatsen hebben gedaan, waarbij ze geen bruikbare camerabeelden hebben gevonden. Het alternatief, dat ze lukraak allemaal camerabeelden hebben bekeken van locaties en tijdstippen waarop hij misschien wel en misschien ook niet van het OV gebruik zou maken, is erg onwaarschijnlijk wanneer het niet om een hele grote fraude - drugs of moordzaak gaat.
Je gaat met de trein, dan moet je betalen. Of het systeem nou lek is of niet.

Zoveel systemen en zaken zijn niet waterdicht en helaas is de mensheid dan zo ingesteld dat ze er misbruik van willen maken en vaak er nog trots op zijn ook.
inderdaad.. hij had ook ervoor kunnen kiezen om het lek publiek te maken via een journalist, in plaats van zelf te misbruiken. Goede kans dat het dan snel opgelost zou worden.
Tja, dit moet een wijze les zijn voor iedereen die denkt dat 'ie alles zomaar mag hacken: Als je verder gaat dan puur en alleen het bewijzen dat er een kwetsbaarheid is, beschermt de rechter je niet meer.

Dit is een van de eerste dingen die je leert als ethical hacker.

Bedrijven zouden veel beter om moeten gaan met dit soort meldingen en gedragingen, maar dat neemt niet weg dat misbruik mogelijk is.
Nou ja, wel dus. Jarenlang zwart rijden. Een waarschuwing van de politie (krijg ik die ook bij doelbewust zwartrijden?). En dan zelfs nu krijgt hij effectief geen straf. Alleen als hij weer gepakt wordt hierop, dan moet hij een boete betalen. En dus nog geen eens dat hij uberhaupt de ticketprijs moet betalen.
En hij heeft nu dus een strafblad, vergeet dat ook niet.

Dat kan serieus problemen opleveren, bijvoorbeeld met het verkrijgen van een VOG, afhankelijk van het doel ervan.

Ook veel werkgevers stellen het niet zo op prijs, als ze iemand met een strafblad hebben rondlopen. Zeker niet als het, zoals hier, om een strafblad vanwege fraude gaat.

Tevens kan het ervoor zorgen dat je sommige landen (bijvoorbeeld de VS, maar ook enkele andere landen) niet meer binnenkomt. Tijdelijk of permanent.
En los van de gevallen waarbij je dus een VOG moet overhandigen, hoe komt die werkgever daar ooit achter? Het is niet dat er een publieke database is met wie er een strafblad heeft. Zelfde verhaal eigenlijk met een VS binnenkomen, als je gewoon aangeeft dat je geen strafblad hebt, kleine kans dat ze daar ooit achter komen.

Maar dat is dan dus de primaire straf: Niet dat hij daadwerkelijk een straf heeft gekregen, maar dat ie een strafblad heeft nu.
Je huidige werkgever komt daar ook niet achter. Tenzij er een reden is om een VOG aan te laten vragen, allicht bij het wisselen van een functie. Maar niet als je bij de huidige functie blijft.

Op dit item kan niet meer gereageerd worden.