Studenten kraken betaalpas NHL Hogeschool

Twee studenten van NHL Hogeschool in Leeuwarden hebben de betaalpas van hun opleiding gekraakt en zijn erin geslaagd om er zelf saldo op te zetten. De betaalpas bevat dezelfde technologie als de ov-chipkaart, die al langer is gekraakt.

NHL-pas De twee studenten, Sander Akkerman en Ferry Naaijer, kraakten de pas en konden deze zelf opladen. Nadat ze er eerst broodjes mee hadden betaald, besloten ze naar de schoolleiding te stappen, meldt de Leeuwarder Courant.

Woordvoerder Frank Oor van NHL Hogeschool erkent dat de pas is gekraakt. "In theorie kunnen mensen nu zelf geld op hun kaart zetten", aldus Oor. "Maar je zou wel heel dom zijn als je dat doet; het is strafbaar en de kaart is aan een persoon gekoppeld. Je bent te traceren." Het is niet bekend of de school daadwerkelijk stappen gaat ondernemen tegen frauderende studenten en of deze bijvoorbeeld van school worden gestuurd.

Dat gebeurt in ieder geval niet met de studenten die de falende beveiliging van de kaart aan het licht brachten; de hogeschool reageert juist positief op hun ontdekking. "We vinden het leuk dat onze studenten dit hebben uitgevonden", aldus woordvoerder Oor. "En we zijn blij dat ze het bij ons hebben gemeld." Het is onduidelijk wat de hogeschool gaat doen om fraude te voorkomen.

Volgens directeur Michiel Wanninkhof van Magna Carta, dat de NHL-pas levert, zit er een Mifare Classic-chip in de pas. Dat deze lek is, is al enige tijd bekend. Het is de chip die ook in de al lang gekraakte ov-chipkaart zit. "We weten al enige tijd dat deze kaart kwetsbaar is", aldus Wanninkhof. Volgens hem levert zijn bedrijf de kaart daarom niet meer aan nieuwe klanten, al wordt deze op de website van Magna Carta wel nog aangeprezen als 'één chipkaart voor al uw toepassingen'.

Update, 10:21: Ferry Naaijer, een van de studenten die de kaart heeft gekraakt, zegt tegenover Tweakers.net dat de codering van de kaart wel verschilt ten opzichte van de ov-chipkaart. "We hebben de kaart eerst geprobeerd te kraken met de software die wordt gebruikt voor de chipkaart", aldus Naaijer. "Maar we hebben uiteindelijk zelf software moeten samenstellen."

IT-banen

Reacties (95)

MediaZoo 11 maart 2011 10:16

Ik vraag me af.. Wie heeft het verzonnen om de informatie op de kaart te zetten en niet in een centrale database?

Door alles op de kaart te zetten en niet centraal te beheren maak je het kwaadwillenden wel heel erg makkelijk kwaad te doen.

johnwoo

@MediaZoo • 11 maart 2011 10:28

Omdat bij iedere transactie te moeten communiceren met een centrale database ook nadelen heeft. Je creëert een single point of failure: als die database plat ligt (of gekraakt c.q. geDDOS'd wordt) is je complete systeem onbruikbaar ipv. enkel enkele passen van kwaadwillenden. Of als er even een kabeltje of connector uitligt van een kassa, dan kun je die totaal niet meer gebruiken (erger wanneer de database zelf, of groepen van kassa's, onbereikbaar worden).

Voor een relatief klein netwerk, of een systeem waarbij beveiliging echt cruciaal is (bv. PIN), is centraal wel de oplossing, en zal om de nadelen heen moeten worden gewerkt (failovers, noodprocedures), maar zodra je over een campus gaat werken, of zelfs landelijk, dan groeit het dataverkeer zodanig dat een centrale oplossing met fatsoenlijke failovers erg complex en duur wordt, duurder dan een decentraal systeem zelfs met kosten van misbruik ingecalculeerd...

In de praktijk zal een afweging worden gemaakt aan de hand van een risicoanalyse en lijst met prioriteiten, en vaak (niet altijd) blijkt dat de voordelen van decentraal opwegen tegen de verminderde veiligheid. Dat kun je dan weer enigszins compenseren door alle transacties te loggen en eens in de zoveel tijd verbinding te maken om de oplaad- en transactielogs te vergelijken of bepaalde passen/personen zich hebben misdragen.

[Reactie gewijzigd door johnwoo op 23 juli 2024 13:34]

TD-er

@MediaZoo • 11 maart 2011 10:21

Het is qua infrastructuur een stuk goedkoper om de informatie op de kaart te zetten.
En je wilt in geval van netwerkstoring uiteraard wel kunnen betalen, want dat kon ook met gewoon geld.
En daarmee heb je gelijk al het zwakke punt te pakken van dergelijke betaalsystemen.
Of je kunt er zo af en toe helemaal niets mee, of je introduceert een geweldig beveiligingsrisico door een beetje betaalgemak toe te staan.

Hyronymus @MediaZoo • 11 maart 2011 10:20

Iets met privacy en het bewaken van de vertrouwelijkheid van informatie in zo'n database denk ik.

divvid 11 maart 2011 11:29

Waarom geeft een school uberhaupt zoveel geld uit aan schoolpassen die gebruikt worden om een broodje te kopen?? Daar heb je toch een reguliere bankpas met chipknip voor! iets met schoenmaker en leest????(oh nee, het was geen vak opleiding maar een 'hogere' school).

Ferrywell @divvid • 11 maart 2011 11:40

In dit geval gebruikt de NHL deze passen ook als sleutels.
Zowel docenten als schoonmakers hebben toegang tot de vele ruimten van het NHL complex.

Wat wij (Sander en ik) niet getest hebben is of een docenten pas de zelfde versleuteling (keys) heeft, simpelweg omdat we geen beschikking hebben gehad over zo'n pas.

Duidelijk moge zijn dat het betaal systeem compleet los moet komen te staan van de huidige studentenpas. Wat al geopperd is, is het gebruik van de Chip op je bankpas.

De Chipkaart word binnen de NHL net als de studentenpas als betaalmiddel gebruikt.

MrBlueEyes

11 maart 2011 10:19

Waarom gebruikt die hogeschool een eigen betaalpas? En niet gewoon de pinpas of een chipknip? Dan krijg je dit soort problemen ook niet.

smeetsmeister @MrBlueEyes • 11 maart 2011 10:22

Dan is het hier toch beter geregeld, je betaald hier in de kantine overal met je chipknip die op je bankpas zit. Dit is toch een veiligere manier van betalen dan een soort "ov-like" chipknip. Heb hier namelijk nog nooit wat gehoord van fraude, of gehackte kaart.

TD-er

@MrBlueEyes • 11 maart 2011 10:23

Met bestaande betaalmethoden moet je vaak ook per transactie betalen en aangezien de bedragen vaak laag zijn, kan dat verhoudingsgewijs best wel veel kosten.

Verwijderd @MrBlueEyes • 11 maart 2011 10:25

Volgens mij is dit een kant en klaar produkt dat je als oplossing bij een leverancier kan kopen. Me dunkt dat het naast kantines van scholen ook voorkomt in andere kantines.

Verwijderd @MrBlueEyes • 11 maart 2011 10:26

Idd dit is niet echt handig voor student of medewerker dat ze een tweede pas moeten gebruiken. Vind het hele gedoe met chipknip nog steeds irritant op school, waarom slikt de koffie automaat gewoon geen muntgeld?

Hopelijk gaan bedrijven beter met beveiliging om na dit soort berichten.

ari

@Verwijderd • 11 maart 2011 11:29

Da's een stukje veiligheid en gebruiksgemak. Een muntautomaat moet regelmatig geleegd worden en je loopt het risico op kraak. Plus dat wisselgeld ook niet gratis is. Op de VU wordt overal de chipknip gebruikt, dan da's wel een handig systeem voor dit soort zaken.

De tweede pas moet je sowieso bij je hebben als student of medewerker. Da's namelijk de pas van je hogeschool/universiteit. Als je 'm niet hebt mag men je de toegang weigeren en bij tentamens moet je 'm zelfs laten zien.

Waarmee ik overigens nog steeds fan ben van de chipknip. Alleen lastig dat de cola-automaten als enige op muntgeld werken, maar ja...

mae-t.net @ari • 11 maart 2011 13:10

Dat muntgeld geld zou kosten, is een mythe die banken gecreeerd hebben. Eeuwenlang was het betalingsverkeer namelijk gewoon betaalbaar...

Verwijderd @mae-t.net • 11 maart 2011 15:48

Laten we het niet over mythes in de bankwereld hebben. Zo ongeveer het hele monetaire stelsel is er een. Rente, inflatie, banksaldo, allemaal gebakken lucht. Blijkbaar houdt de maatschappij graag de nodige mythes in het spelletje en dat zien we nu ook terug in systemen als de ov-chipkaart. Muntgeld kan er dan ook nog wel bij. Want ja, ze hebben liever dat iedereen elektronisch gaat betalen. Big brother...

D.I.N.G @MrBlueEyes • 11 maart 2011 10:35

Op Avans Hogeschool maken ze hier ook gebruik van omdat we daarmee ook moeten printen. De printopdrachten worden opgehaald bij de printer aan de hand van onze schoolpas/id en dan kunnen we printen en betalen met hetzelfde pasje.

Ik was zelf ook van plan om mijn schoolpasje te kraken om te kijken of ik ook mijn saldo kon verhogen of bijvoorbeeld mezelf toegang te geven tot de parkeergarage maar kaarlezers zijn momenteel best duur waardoor ik dat idee heb uitgesteld.

Freee!!

@D.I.N.G • 11 maart 2011 10:42

maar kaarlezers zijn momenteel best duur

Ik vind € 30,- nog best meevallen, zeker als het ook in je opleiding past^*).

^*) Ik weet natuurlijk niet of dat voor jou het geval is.

ari

@D.I.N.G • 11 maart 2011 11:30

Denk wel even aan het feit dat je naam gekoppeld is aan je pasje en dat fraude makkelijk te detecteren is voordat je zoiets doet.

GAIAjohan @MrBlueEyes • 11 maart 2011 12:12

Printen, parkeerplaats etc.
Printen gebeurt op user_id.
Bij de parkeerplaats is het niet handig om een chipknip te gebruiken voor de slagboom. dan is een reader waar je het pasje voorhoudt veel handiger.

Ja een chipknip kan ook op user_id (deden ze op de Hanze voor printen), maar dan staat je chipknip wel geregistreerd in hun systeem.

[Reactie gewijzigd door GAIAjohan op 23 juli 2024 13:34]

thefal @GAIAjohan • 11 maart 2011 12:38

Bij ons op de Haagse Hogeschool in Delft gebeurt alles via de chipknip. Er staat beneden in de hal een speciale automaat om je chipkaart te koppelen aan je studentnummer. Daarna kan je alles met je chipkaart; Dingen kopen bij de kantine, printen, parkeren... Lijkt mij veel handiger dan nog een extra kaart in je portomonnee

GAIAjohan @thefal • 11 maart 2011 13:01

een extra kaart heb je als student sowieso al ja? Een studentkaart voor bij de tentamens o.a. En ja, deze kaart wordt overal voor gebruikt.

Ik zie niet in hoe het parkeren makkelijker kan zijn met de chipknip dan met een kaart die je gewoon ergens langshaalt.

[Reactie gewijzigd door GAIAjohan op 23 juli 2024 13:34]

Marientjuh 11 maart 2011 10:13

Een betere reactie op de kraak dan Trans Link Systems doet en gedaan heeft.

Hoeveel meer bedrijven en scholen zullen problemen gaan krijgen met deze chip?

bartvb

@Marientjuh • 11 maart 2011 10:35

De reactie komt eigenlijk ongeveer op hetzelfde neer. 'Ja, we weten dat het ding lek is, niemand maakt er misbruik van want dat is strafbaar, we doen er dus niets/heel weinig aan'.

Ik neem overigens aan dat het systeem niet meteen met de backend checked wat het saldo van een persoon is, anders kan je geen extra saldo 'op de kaart ' zetten. Als dat zo is dan lijkt het me ook niet heel ingewikkeld om een kaart te maken met een willekeurig/niet bestaand studenten ID. Op die manier wordt traceren al een heel stuk moeilijker, of ja, dan heb je een heterdaad nodig.

ari

@bartvb • 11 maart 2011 11:11

Dan wordt het tijd om een camera op te hangen bij de kassa, zodat je de onbekende kaart kunt koppelen aan een gezicht. Of je dat wil is een ander verhaal...

Tsurany @bartvb • 11 maart 2011 11:25

Bij de HvA doen ze dat dacht ik wel zo, daar is het niet mogelijk om er extra saldo op te zetten omdat het serverside gecontroleerd wordt. Wel is het mogelijk om je zelf de rol van docent te geven, dat betekent dat bepaalde deuren geopend kunnen worden en dat je gratis koffie kan halen (250 bekers per maand uit m'n hoofd). Alleen de programma's die hiervoor gebruikt zijn zijn helaas niet vrij gegeven waardoor je alsnog zelf er achterna moet gaan.

miw @bartvb • 11 maart 2011 11:26

Misbruik van een studentenID is zeer moeilijk aan te tonen. Dat er oneigenlijk gebruik gemaakt is van een kaart met een zeker studentenID, wil niet zeggen dat de persoon die gewoonlijk gekoppeld is aan dat studentenID ook die daad gepleegd heeft. Die conclusie is uitsluitend gerechtvaardigd als dat studentenID niet te manipuleren zou zijn.

_Thanatos_ @bartvb • 11 maart 2011 13:01

De reactie komt eigenlijk ongeveer op hetzelfde neer. 'Ja, we weten dat het ding lek is, niemand maakt er misbruik van want dat is strafbaar, we doen er dus niets/heel weinig aan'.

Je huis niet op slot doen, omdat inbreken toch wel verboden is

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@Marientjuh • 11 maart 2011 10:31

Een betere reactie op de kraak dan Trans Link Systems doet en gedaan heeft.

Duh. Waarom zou TLS het op prijs stellen dat mensen de kaart kraken? Het is een bedrijf dat er geld mee wil verdienen. Echt compleet anders dan op de hogeschool, waar educatief onderzoek natuurljik wordt gestimuleerd. Het betreffende cateringbedrijf zal er ook wel anders tegenaan kijken dan de schoolleiding.

Ik ben het wel met je eens dat TLS dan ook weer wat onhandig heeftt gereageerd, maar een pluimpje zoals de schoolleiding dat doet is weer heel wat anders.

[Reactie gewijzigd door .oisyn op 23 juli 2024 13:34]

T-men @.oisyn • 11 maart 2011 10:38

Het gaat om mensen die TLS laten zien hoe hun kaart gekraakt is/wordt.
TLS zou blij moeten zijn met die informatie. Zij kunnen dan tegenmaatregelen nemen.

Nazanir @T-men • 11 maart 2011 11:15

Inderdaad, om deze opmerking wat verder uit te lichten:

Natuurlijk is TLS er niet blij mee dat hun kaart gekraakt word, omdat ze geld willen verdienen. Maar besef je wel, dat door het kraken van de kaart, ze nog veel meer geld anders zullen mislopen. TLS zou juist dankbaar mogen zijn, dat ze gewaarschuwd worden voor een lek, op deze manier kunnen ze de schade dan weer inperken.

Maar goed, al ruime tijd geleden kwam een en ander aan het licht door een (of meerdere?) studenten van de Radboud Universtiteit te Nijmegen. Hij had een heel project geweid aan de onveiligheid van de O.V. chipkaart, het antwoord daarop (bleek recentelijk, een maand terug ong.) dat in de loop van 5 jaar, kaarten vervangen worden.

Maar vergeet niet dat er meerdere kaarten in omloop zijn, die van de NS zijn wezenlijk anders dan die van TLS bijv. weer. kijk, dat ze zich op willen laten lichten (want ze zijn van mening dat de fraude niet bepaald een hot item zal worden), vind ik verder prima. Waar ik wel moeite mee heb, is dat gegevens/saldo van anderen aangepast kan worden.

Je zal maar iemand hebben, met minder goede bedoelingen en van een batch kaarten het saldo op nul zet. Daar zit je dan in de trein voor een onbetaalde rit van Maastricht naar Groningen, tijdens een controle.

Maarja, tegen de tijd dat de nieuwe kaart er is (kaart met een eigen microprocessor meende ik), zal daar ook wel weer een antwoord op zijn. De reactie van de vervoers bedrijven zal dan wel weer zijn om een nieuwe kaart over de loop van 5 jaar uit te brengen, waar tegen die tijd ook weer een hack voor bestaat, enz. Zo blijf je natuurlijk lekker bezig.

Eerst geld willen ze zien, daarna kijken we wel of het goed is voor de burger.

Kopje_Koffie

@Marientjuh • 11 maart 2011 10:58

Op de HAN in Arnhem hebben we een soort chipknip systeem. Het werkt op een andere manier, je moet immers je pas een gleuf steken, en niet ergens langs een sensor halen. Op deze kaart zal vast wel je saldo geschreven staan, maar het zal ook wel server-side bijgehouden worden.

TDeK

Beveiliging

@Kopje_Koffie • 11 maart 2011 11:15

Waarschijnlijk zit daar nog een extra challange op, dus via een interface. Dat is al vele malen moeilijker te kraken, omdat je daar geen plain-text dump van kunt maken.
OT: ik vind het wel makkelijk gedacht van deze school. Deze studenten komen ervoor uit, wie weet zijn er andere studenten die al maanden/jaren op deze manier hun pas opladen. Jaren terug is er al eens een school in (ik meen) Eindhoven voor tonnen het schip in gegaan omdat studenten daar ook hun readers en lesmateriaal via die pas konden betalen. Mooi middel tegen de bezuinigingen

ari

@Kopje_Koffie • 11 maart 2011 11:17

Dat zal natuurlijk gebeuren. De vraag is of de afwijkingen gedetecteerd worden.

Op mijn middelbare school hadden we ook het kopieersysteem 'gekraakt'. De kraak bestond uit het knopje 'annuleren' indrukken bij de bevestiging van het toevoegen van het saldo. Bij bedragen tot 100 euro werd het geld niet afgeschreven, maar wel bijgeschreven op de kaart.

Pas toen het halve leerjaar bedragen van meer dan 100 euro op die pas had staan ging er ergens een belletje rinkelen. Er zat namelijk geen 5000 euro in de automaat. Met als resultaat een hoop gezeik voor de leerlinge die het per ongeluk had gedaan en gemeld had. Daarna hebben ze de interface omgegooid maar de bug niet verwijderd (maar die bug werkte vervolgens wel alleen voor bedragen tot 2 euro i.p.v. 100 euro). Tja, hoe gemotiveerd ben je dan om het te gaan melden als je weet dat het niet gezien wordt en je een hoop gezeik krijgt...

TDeK

Beveiliging

@ari • 11 maart 2011 11:48

[Reactie gewijzigd door TDeK op 23 juli 2024 13:34]

DizzyVacation @Kopje_Koffie • 11 maart 2011 23:17

Je zou haast wel denken dat het geld inderdaad op je pas staat.
Want zodra je je pas in de printer steekt wordt er eerst een borg afgehaald. (voor het geval je de kaart eruit haalt tijdens het printen?) Maar waarom zou je deze borg nodig hebben als alles server-side wordt geregeld, want dan zou je altijd nog het benodigde bedrag kunnen afschrijven?

Ik heb wel eens wat informatie proberen te zoeken over de pas die er gebruikt wordt, maar ik kon er vrijwel niks over vinden.

Starck 11 maart 2011 10:14

Hulde voor de jongens om dit te melden aan de school.

Ik weet van mijn oude school dat ze veel dingen in eigen beheer doen. Dus dit zou een mooie opdracht kunnen opleveren voor de Informatica opleiding. Maak maar eens software voor de chip wat niet zo makkelijk te kraken is

stifmeizter @Starck • 11 maart 2011 10:22

Dit was 6 jaar geleden in mijn eerste jaar op de Fontys ook al gebeurd. Eerste project op de Informatica opleiding...werken met een cardreader. Toen was het misbruik toch wel wat massaler en zijn er een aantal studenten van de opleiding afgetrapt.

Uiteindelijk komen ze er toch wel achter aangezien betalingsgegevens overeen moeten komen met het opgeladen saldo.

Verwijderd @stifmeizter • 11 maart 2011 10:29

[quote]Toen was het misbruik toch wel wat massaler/quote]
Er wordt gesteld dat deze studenten het als eerste ontdekt hebben. Dat kan natuurlijk het geval zijn, maar elke 'nerd' (in positieve zin bedoeld) op deze opleiding kan dit natuurlijk al vele jaren eerder ontdekt hebben; en wellicht denkt een deel van de studenten nu: Oops. Da's balen.

Sorcerer8472 @Verwijderd • 11 maart 2011 13:00

Er is redelijk uitgebreid over bericht destijds geloof ik hoor, en het was vrij uitgebreid bekend dat het kon. Dus tja...

Zolang er aan beide kanten een log wordt bijgehouden, is de dader altijd op te sporen en kan deze ook beboet worden. Overigens kunnen dat flinke boetes zijn volgens mij omdat dit toch wel een redelijk ernstige vorm van fraude is.

Cloud @Starck • 11 maart 2011 10:24

In het geval van een hogeschool lijkt me dit toch wel wat veiliger te kunnen. Alle oplaadpunten kun je koppelen aan één centraal systeem binnen de school waardoor je het saldo centraal bij kunt gaan houden. Het zou niet eens meer op de chipkaart zelf hoeven staan in die situatie; je kaart is dan niets meer dan een middel om je te identificeren aan de apparatuur.

Dit is bij de ov-chipkaart natuurlijk veel lastiger te implementeren omdat die oplaadpunten door het hele land zitten, de betaalautomaten gedeeltelijk mobiel zijn en je zelfs vanuit huis zou moeten kunnen opladen. Veel complexer.

Complimenten voor het melden aan de school ja. Als ze het daadwerkelijk niet misbruikt hebben vind ik dat ze wel een pluimpje verdiend hebben!

offtopic:
Ej jobo

Die kaartjes hebben wel heel wat lekkere lunch voor ons verzorgd

[Reactie gewijzigd door Cloud op 23 juli 2024 13:34]

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@Cloud • 11 maart 2011 10:33

Klopt, op Campzone gebruiken ze bijvoorbeeld een vergelijkbaar systeem met wat jij voorstelt. Je pas bevat niets meer dan een streepjescode, en hoeveel jij op je account hebt staan staat opgeslagen in een centrale database.

Starck @Cloud • 11 maart 2011 10:47

En niet alleen onze kaartjes, maar ook de kaartjes van de mensen die al van school af waren. Die bleven gewoon werken

.

Maar de lunch was altijd goed daar! broodje gezond met hamburger, hmmmm!

TD-er

@Starck • 11 maart 2011 10:18

De enige manier om het tegen te gaan is door alles aan elkaar te koppelen, zodat je ook weet of het saldo kan kloppen met wat erop is gezet binnen het eigen systeem.
De toegang tot die database lijkt me wat makkelijker beveiligd te houden dan die kaartjes.
Je moet de kaart dus eigenlijk ook alleen maar gebruiken als unieke identifier en er per transactie ook iets op wegschrijven zodat gekloonde kaartjes ook snel opvallen.

Je mag input van de gebruiker nooit vertrouwen, maar dat schijnt men maar niet te willen leren bij dergelijke systemen.

Pyronick 11 maart 2011 10:16

Zover ik weet word de Mifare Classic chip ook in de pas van de Hogeschool Rotterdam gebruikt. Althans, hij kan gelezen worden door de portals van de RET.
Alleen is het geen betaalmiddel, bij ons op de HRO word er gewoon per chipknip betaald.

Het zou mij niet verbazen als het voor de meeste andere scholen word gebruikt.

Ik ga thuis even een blik werpen op de kaart. Misschien dat er wel iets leuks opstaat.

MSalters

Nederland

@Pyronick • 11 maart 2011 11:58

Zover ik weet word de Mifare Classic chip ook in de pas van de Hogeschool Rotterdam gebruikt. Althans, hij kan gelezen worden door de portals van de RET.

De Mifare classic gebruikt dezelfde standaard frequenties als een heleboel andere RFID chips. Dus "gelezen worden" is nog niet voldoende om te bewijzen dat het daadwerkelijk om een Mifare gaat.

GrooV 11 maart 2011 10:23

Volgens mij is dit jaren geleden al gebeurd op de Fontys Hogescholen, toen kon je ook gewoon geld op je pasje zetten en er mee betalen.

Heb er zelf niet op gezeten dus weet het niet helemaal zeker meer.

Havocnl @GrooV • 11 maart 2011 10:32

Klopt dat was toen idd aan de orde! Het was toen nog een normale studentenpas met chip erop. De opleiding Technische Informatica zit Eindhoven en deze jongens hadden dit zo door....

Er zat helemaal geen beveiliging what-so-ever op! Je kon de chip uitlezen en schrijven zonder belemmering en het saldo stond als simpel getal opgeslagen.... Niks geen beveiliging.

Er is toen flink wat om te doen geweest. Een aantal jongens heeft flinke boetes aan hun kont gekregen omdat ze voor honderden euro's hadden gegeten in de kantine (voor zichzelf en anderen). Moesten ook verantwoording af komen leggen bij de Raad van Bestuur etc. Mensen die zelf aangaven dat ze dit hadden gedaan kwamen er makkelijker vanaf. Sinds die tijd is het mooie pasjes systeem uitgezet en mocht men weer contant betalen

Geen idee of er ondertussen al een nieuw systeem is...

maxxware 11 maart 2011 10:45

Wat is er strafbaar aan? Het is een betaalmiddel voor gebruik binnen een instelling, valt dit dan automatisch onder het strafrecht? Met andere woorden: kun je voor dit soort fraude (want dat is het natuurlijk wel) aangifte doen bij de politie? Of zeggen de heren-met-de-pet-die-ons-a-allemaal-past hetzelfde wat ik denk: dat het een interne aangelegenheid is?

arjankoole

Beveiliging
Hackers

@maxxware • 11 maart 2011 10:59

Ja, dit is strafbaar. (je moet namelijk toestemming vragen om een dergelijk betaalmiddel in het leven te roepen, en wel bij de Nederlandsche Bank, enige mate van fraude van deze aard met een dergelijk systeem is - zowel voor interne pasjes als voor de ov-chipkaart - absoluut strafbaar)

[Reactie gewijzigd door arjankoole op 23 juli 2024 13:34]

Gadgetfreak @maxxware • 11 maart 2011 11:17

Het is zowel civiel te vervolgen als door de overheid.

Ik weet niet of fraude de juiste naam is, of dat het gaat om een economisch delict.
Strafrecht is niet mijn specialiteit.

Dat dit echter onder een of enkele strafrechtelijke bepalingen te schuiven is lijkt me helder.

Of dit tot vervolging zal leiden is de vraag. Het gaat waarschijnlijk om kleine bedragen en mij lijkt een boete, voorwaardelijk sepot o.i.d. lijkt me meer te verwachten.

EDIT: typo

[Reactie gewijzigd door Gadgetfreak op 23 juli 2024 13:34]

TheNephilim

11 maart 2011 10:14

"Het is niet bekend of de school daadwerkelijk stappen gaat ondernemen tegen frauderende studenten en of deze bijvoorbeeld van school worden gestuurd."

Nou ik neem aan dat ze geen maatregelen nemen tegen deze studenten. Ze melden immers netjes dat het mogelijk is de pas zelf op te laden. Die 2 broodjes om te testen of het echt werkt lijken mij geen probleem.

Gadgetfreak @TheNephilim • 11 maart 2011 10:17

Juridisch bestaat er geen verschil tussen kraken om misbruik te maken en kraken en het vervolgens melden.

Daarbij staat in het bericht al, dat deze studenten niet in de problemen gaan komen hiermee.

Een volgens mij goede reactie, waarmee je je beveiliging kunt aanscherpen.
Ik vind dit niet alleen vanuit dat oogpunt slim van de school, maar ook vanuit een oogpunt van reclame/positieve naamsbekendheid is dit volgens mij de best denkbare reactie.

Iedereen heeft sympathie voor de studentjes die zo'n systeem kraken en de school vervolgens informeren.

Arnoud Engelfriet @Gadgetfreak • 11 maart 2011 11:21

Daar zit wel degelijk verschil tussen want kraken en melden kan worden geëxcuseerd als zijnde vrije nieuwsgaring. Zie mijn artikel Ethisch en legaal hacken voor meer daarover. En nee, dit geldt niet alleen als je journalist bij Tweakers bent.

Freee!!

@TheNephilim • 11 maart 2011 10:17

Even verder lezen in het artikel:

Dat gebeurt in ieder geval niet met de studenten die de falende beveiliging van de kaart aan het licht brachten

deltaVsquared @TheNephilim • 11 maart 2011 10:17

Staat gewoon in het artikel:

Dat gebeurt in ieder geval niet met de studenten die de falende beveiliging van de kaart aan het licht brachten; de hogeschool reageert juist positief op hun ontdekking. "We vinden het leuk dat onze studenten dit hebben uitgevonden", aldus woordvoerder Oor. "En we zijn blij dat ze het bij ons hebben gemeld."

EDIT: Spuit elf...

[Reactie gewijzigd door deltaVsquared op 23 juli 2024 13:34]

MClaeys @TheNephilim • 11 maart 2011 10:50

Er staat dan ook in het artikel dat ze tegen hen geen actie ondernemen, dat ze het zelfs leuk vinden dat hebben uitgevonden. Dat is puur omdat ze het gemeld hebben, anders lagen ze wel buiten veronderstel ik.

!null @TheNephilim • 11 maart 2011 10:22

Staat er toch ook?

YopY 11 maart 2011 10:15

Lijkt me niet moeilijk om dit te traceren. Voor elke transactie word een log bijgehouden (neem ik aan), en het moet eenvoudig zijn om een overzicht te krijgen van passen die een verschil hebben in opladen en betalen.

Maar wie weet kunnen ze ook wel het ID van een pas wijzigen zodat hij aan een ander persoon gekoppeld wordt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: