TLS ontdekt wekelijks tientallen gevallen van fraude ov-chipkaart

Trans Link Systems, de joint-venture die de ov-chipkaart coördineert, ontdekt wekelijks 'enkele tientallen' gevallen van fraude met de chipkaart. Er lopen momenteel elf gerechtelijke onderzoeken naar fraudeurs.

Logo ov-chipkaart In de meeste gevallen worden frauduleze kaarten direct geblokkeerd, meldt NU.nl op basis van het AD. Per week worden 'enkele tientallen' gevallen van fraude ontdekt, maar TLS claimt dat het steeds vaker lukt om fraudeurs te achterhalen. Veel fraudeurs gebruiken anonieme kaarten, maar zijn soms te achterhalen doordat ze met een bankpas geld op de kaart hebben gezet.

Er lopen op dit moment elf gerechtelijke onderzoeken naar fraudeurs, terwijl er nog 'tientallen zaken' op stapel staan, stelt de Spoorwegpolitie. Het is in de afgelopen tijd veel goedkoper en eenvoudiger geworden om te frauderen met de ov-chipkaart. Met een rfid-lezer van een paar tientjes en eenvoudig te vinden software, kan de kaart worden gekraakt.

IT-banen

Reacties (202)

202

199

134

Wijzig sortering

donny007 4 april 2011 14:12

Als straks het algoritme reversed-engineered is (zelf kaarten aanmaken) en OVstation (thuis-inchecken) echt goed uitgewerkt is zal de opsporing een stuk lastiger worden, de railpockets (PDA van conducteur) houden nu nog geen transactielogs bij, TLS is daar wel mee bezig (zie o.a dit rapport (Bijlage 1 = Antwoorden TLS).

Het systeem is gewoon EOL, er worden allerlei lapmiddeltjes gebruikt om het draaiende te houden, waarom? Dit probleem was al bij de selectie van de chip bekend, nu zijn we een paar jaar verder en wat zien we?, complete handleidingen en tooltjes online om je saldo op te hogen en thuis in te checken, kaartlezers zijn overal uitverkocht, etc. ipv een betere kaart die zijn beloftes waarmaakt....

Overigens wordt er steeds gesuggereerd dat het kraken "makkelijk" is en dat iedere leek het kan, dat is NIET waar, de tools zijn nog in een dusdanig stadium dat je zeker wel verstand van zaken moet hebben om de hacks succesvol uit te voeren (zonder je kaart te bricken, te formatteren of te beschrijven met foutieve gegevens, en natuurlijk zonder na 1 dag geblokkeerd te worden), veelal worden er geen back-ups gemaakt (of er wordt geëxperimenteerd met de back-up zonder een kopietje te maken) met als resultaat de kaart vaak onherstelbaar beschadigd is en niet meer gedeblokkeerd kan worden....

[Reactie gewijzigd door donny007 op 23 juli 2024 12:51]

cire @donny007 • 4 april 2011 19:18

Je zegt "Dit probleem was al bij de selectie van de chip bekend". Welk probleem hebben we het dan over? Volgens mij waren er een paar Duitse onderzoekers die als eersten een hack publiceerden en toen werd de OVchip in Rotterdam/Amsterdam al gebruikt...

Verwijderd @cire • 5 april 2011 09:58

TNO gaf voor de lancering al aan dat de kaart geheel gekraakt zou kunnen worden:

Opvallend genoeg stelt TNO echter dat er slechts een 'theoretische mogelijkheid is dat criminele organisaties een commercieel plan ontwikkelen met het doel de ov-chip te kraken', terwijl het instituut ook aangeeft dat de gebruikte chip op termijn geheel kan worden gekraakt.

nieuws: TLS: ov-chipkaart is veilig genoeg

RVE_NL 4 april 2011 12:38

''Veel fraudeurs gebruiken anonieme kaarten, maar zijn soms te achterhalen doordat ze met een bankpas geld op de kaart hebben gezet.''

Ok nu weten we dat ook weer, niet met je bankpas betalen dus.

sumac @RVE_NL • 4 april 2011 12:47

Overal waar je geld op je kaart stort (ook muntgeld dus) staan camera's opgesteld. Los daarvan heb je meestal wel een mobiele telefoon bij je, en ben je tot in het station te lokaliseren. Misschien ben je op grond van die gegevens niet direct te koppelen, maar als je eenmaal drie keer geld stort, dan is die koppeling tussen telefoon en die kaart wel te maken. Et voilà, you're busted! ;-)

Verwijderd @sumac • 4 april 2011 12:52

Telefooninformatie opvragen... Zoveel macht heeft tls niet. En als ik daar met een capuchon op geld in de automaat gooi dan is er niets te traceren.

_Thanatos_ @sumac • 4 april 2011 13:00

Een telefoon is te lokaliseren ja, maar op slechts een paar 100 meter nauwkeurig. We hebben niet voor niets GPS, en een telefoon zal nooit zonder toestemming GPS-gegevens gaan rondsturen aan iedereen die er maar om vraagt.

Als location coercing met GSM zo precies zou zijn, dan zou GPS overbodig zijn (in landen waar GSM bestaat).

miw @sumac • 4 april 2011 13:41

Nope. Zelfs met deze extreme maatregelen, kan TLS alleen achterhalen dat er fraude is gepleegd met een kaart waar persoon X ooit eens geld op heeft gezet. Dat bewijst natuurlijk niet dat die persoon X ook die fraude gepleegd heeft. Immers, persoon X kan die kaart verloren zijn of de kaart hebben doorverkocht. Bij een dergelijk verweer rust de bewijslast op TLS en die kunnen ze gewoon niet rondkrijgen met de huidige incheck methodes.

Verwijderd @sumac • 5 april 2011 01:42

simpel laat je mobile telefoon thuis liggen dan heb je gelijk een Alibi;)

Feitelijk gaf je zelf de oplossing al

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:51]

Verwijderd @RVE_NL • 4 april 2011 12:49

Een anonieme kaart is dus helemaal niet zo anoniem. Kun je trouwens wel op een anonieme manier geld op de pas zetten?

Limaad @Verwijderd • 4 april 2011 12:53

Ja, door te frauderen. Daar gaat dit hele verhaal om....
De reden dat er fraudeurs gepakt zijn, is omdat ze waarschijnlijk pinbetalingen hebben gedaan bij de aanschaf van de pas.

Wallie @Limaad • 4 april 2011 13:00

Of door gewoon met contant geld bij het loket op te laden

Limaad @Wallie • 4 april 2011 13:07

nee, want dan zijn ze niet te traceren... lezen is een kunst, herhalen van anderen niet.

_Thanatos_ @Verwijderd • 4 april 2011 13:01

Met cash? Dat is vooralsnog anoniem... Moet je wel een automaat gebruiken waar je cash in kan gooien (en dus ook briefjes, anders ben je wel ff bezig voor een beetje saldo).

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 12:51]

Durandal @_Thanatos_ • 4 april 2011 13:24

Je hoeft geen beetje saldo, dat zet je er zelf wel op.

_Thanatos_ @Durandal • 6 april 2011 19:23

Zoals al 80.000x eerder gezegd, je moet die kaart eerst kopen.

tehsojiro @RVE_NL • 4 april 2011 12:40

heeft ook lekker veel zin om een anonieme kaart te gebruiken als je met je bankpas gaat betalen

is trouwens het hele punt van het kraken van die kaart niet dat je niet hoeft te betalen?

cpt.skydiver @tehsojiro • 4 april 2011 12:44

Je moet de kaart nog wel aanschaffen. Het was voor TLS volgens mij ook te achterhalen wie met welke bankrekening welke kaart heeft aangeschaft. Werd toen in ieder geval gezegd dat je, als je dit wil doen, het best contant kan betalen.

Cyw00d @cpt.skydiver • 4 april 2011 12:47

Staan er geen camera's gericht op de automaten/in de automaten? Ze gaan erg ver voor dit soort dingen meestal.

Verwijderd @Cyw00d • 4 april 2011 12:49

Ja die staan er dus overal, zelfs in de bus waar ook zo een automaat in zit om op te laden.

PiepPiep @Verwijderd • 4 april 2011 13:17

Kan je in de bus eigenlijk ook met cash opladen? en zo ja, als die automaat vol zit met geld en er niet nog meer in past maar je hebt geen saldo, mag je dan wel gratis reizen omdat het buiten jou macht ligt dat je niet kan betalen?

Verwijderd @PiepPiep • 4 april 2011 13:43

Zo ver ik het weet zit het zo:
1. Voor het instappen moet je inchecken, dus je kan niet "gratis" mee.
2. Je kan niet met cash opladen. Alleen met pasjes.

daft_dutch @Verwijderd • 4 april 2011 16:00

De meeste NS Terminals (die gele dingen) ondersteunden de OV chipkaart.
Sommige NS terminals ondersteunen cash betalingen.

PiepPiep @Verwijderd • 4 april 2011 16:16

Maar als hij fout bliept omdat het saldo te laag is mag je van de meeste chauffeurs wel even opladen en dan komen inchecken.
Daarom vraag ik me af wat die chauffeur zegt als die automaat het niet doet om wat voor reden dan ook.
Er staat me namelijk iets bij dat er een regel is dat als je een geldige manier van betalen hebt dat ze je niet mogen wijgeren als door iets buiten jou schuld om niet werkt.

Verwijderd @PiepPiep • 5 april 2011 23:11

Helaas niet waar. Ben nu tot 2x toe beboet vanwege een defect chipknip apparaat in de tram in Utrecht. Ik heb het even nagezocht, en sinds volgens mij 1987 ongeveer is de reiziger volledig verantwoordelijk voor het hebben van een geldig vervoersbewijs.

Dus als de chauffeur van de bus je laat doorlopen met je OV chipkaart, en de bus wordt gechecked door een controleur waarvan z'n vrouw ongesteld is, kun je zomaar pech hebben. Van de zotte.

SKiLLa @Verwijderd • 4 april 2011 15:03

1. Je kan nog steeds wel voorin inchecken en dan achterin direct uitchecken; gebeurt regelmatig in Amsterdam ...

2. Je kan wel met contact geld opladen (althans in Amsterdam) ...

RVE_NL @Cyw00d • 4 april 2011 12:49

Ow nu weet ik waarom de pet/hoed weer in is!

Verwijderd @Cyw00d • 4 april 2011 13:16

De wetgeving omtrent camera bewaking is dat het beeld materiaal binnen 24 gewist moet zijn tenzij men het voor opsporings doeleinden gaat gebruiken. Dus als je 24 uur wacht dan is dat ook geen probleem.

TheGhostInc @cpt.skydiver • 4 april 2011 13:00

Er is voor TLS te achterhalen met welke bankpas er is betaald, dat nr is altijd bekend als je afrekent (ongeacht bij welk bedrijf) met een betaalpas. Aangezien een bankpas aan een rekening hangt kun je bankpas en rekeningnummer koppelen. Dit kan echter alleen door de politie gedaan worden.
(Ik weet niet of daar ook een officiële aanvraag/verdenking voor moet zijn of dat het hebben van een bankpasnummer voor de politie al voldoende is om de bijbehorende gegevens direct op te vragen bij een bank)

Persoonlijk vind ik dit wel een hele mooie tussenweg tussen anoniem en complete anarchie.
Je pas is compleet anoniem totdat er echt een verdenking is, dan kunnen ze de pas altijd nog aan een persoon koppelen.

Als je het "fair" vindt dat iemand op kosten reist van mij (de belasting & treinkaartjes betalende reiziger) en daar vrede mee hebt, wat vind je fair dat ik mag doen als ik iemand (bv. jou) tegenkom die in de trein zijn/haar kaart aan het kraken/illegaal aan het opwaarderen is?
Laptop slopen? Goed pak slaag? Uit de trein gooien? Of mag ik dan niks, want er is geen slachtoffer? (Terwijl ik me toch goed gen***d voel door mijn medeburgers, die na een slecht overheidsproject van 1 Miljard nu nog eens enkele honderden miljoenen extra erdoor gaan jagen )

miw @TheGhostInc • 4 april 2011 13:29

Is het fair dat TLS en de OV bedrijven honderden miljoenen hebben opgemaakt aan een dergelijk faal project? Is het fair dat anoniem reizen dus gewoon niet meer mogelijk is?

.Johnny @miw • 4 april 2011 14:40

Lijken mij geen relevante vragen voor de opmerkingen van TheGhostInc. Hij kan daar allemaal niks aan doen maar is wel indirect slachtoffer, aangezien de gemiste inkomsten worden doorberekend en uiteindelijk daar terecht komen. Zal dus allemaal waar zijn (en inderdaad, anoniem reizen is zo echt onmogelijk blijkelijk, vind ik ook erg!), maar dat rechtvaardigt nog niks.

[Reactie gewijzigd door .Johnny op 23 juli 2024 12:51]

ATS @RVE_NL • 4 april 2011 13:38

OK, dat worden dus dealers die via een katvanger gekochte kaarten gaan verkopen. Traceren ze de bankrekening, dat komen ze bij een of andere zwerver uit.

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@ATS • 4 april 2011 17:24

OK, dat worden dus dealers die via een katvanger gekochte kaarten gaan verkopen. Traceren ze de bankrekening, dat komen ze bij een of andere zwerver uit.

Ik zie in de toekomst nog een veel simpeler oplossing: Gewoon blanco Mifare Classic-kaarten in bulk van de fabrikant kopen en daar een eigen OV-chip firmware in programmeren. Dan weet TLS al helemaal niet meer waar ze moet zoeken.

blissard @Stoney3K • 5 april 2011 08:02

Dat valt ook helemaal niet op bij een controle, zo'n blanco kaart.

Alex) @blissard • 6 april 2011 03:56

Dat kan natuurlijk ook weer bestickerd worden

martijnnos @RVE_NL • 4 april 2011 12:41

Waarom zou je betalen als je chip gekraakt is?

Dat vind ik nog de grootste vraag eigenlijk hier over.

Proxx @martijnnos • 4 april 2011 12:42

je moet toch een keer de kaart aanschaffen voordat je hem kan kraken.
of denk ik nu krom

RVE_NL @Proxx • 4 april 2011 12:46

Cash betalen?

Fly-guy

@RVE_NL • 4 april 2011 12:51

Ja, maar daar hebben een aantal dus niet aan gedacht, of hadden nog een "oude" ov kaart die ze later gekraakt hebben, zonder te herinneren dat ze die met pas betaald hadden...

Verwijderd @RVE_NL • 4 april 2011 12:49

Uit de automaat waar een camera voor hangt zeker

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@Verwijderd • 4 april 2011 13:22

Uit de automaat waar een camera voor hangt zeker

En hoe groot acht je de kans dat ze om zo'n onbenullige reden even de camerabeelden op gaan vragen?

We hebben het hier over fraude via een uitgebreid aangetoond beveiligingslek, niet over een terroristische aanslag.

Verwijderd @Stoney3K • 4 april 2011 13:52

En die camera's ziten in dat toestel voor de staatsveiligheid? Of mischien iets minder heldhaftig toch maar om mogelijke fraude dossiers waterdicht te maken. (vermeiden dat je zegt dat jij het niet was, kaart gestolen,...). Ze moeten immers niet de hele video bekijken ze hebben nl heel precies datum, uur,...

RVE_NL @Verwijderd • 4 april 2011 12:51

Heb jij dan geen boerka?

stresstak @Proxx • 4 april 2011 17:31

je moet toch een keer de kaart aanschaffen voordat je hem kan kraken.
of denk ik nu krom

Krom, inderdaad. Ik kan hem voor je kopen.En dan kun jij hem ruilen met iemand anders.

Lumics @martijnnos • 4 april 2011 12:43

Waarschijnlijk hebben ze ooit een anonieme kaart gekocht, en betaald met de bankpas om te reizen. Vervolgens hebben ze na alle media aandacht besloten hun kaart te 'hacken' om gratis te kunnen reizen. In de geschiedenis van transacties is dan waarschijnlijk het bankrekeningnummer te achter halen.

Marathir @martijnnos • 4 april 2011 12:48

Omdat "fraudeurs" misschien het alleen als "proof of concept" gedaan hebben en misschien maar 1 of 2 keer.

Echte fraudeurs zullen het natuurlijk vaker doen en niet zo dom zijn om een traceeroptie open te laten.

cire @Marathir • 4 april 2011 19:01

Als ik als "proof of concept" voorbij een flitspaal rijdt, hoef ik daar ook niet mee aan te komen. Wat denk je zelf!?

blissard @Marathir • 5 april 2011 08:01

"echte fraudeurs" zijn heus niet allemaal heel intelligent hoor.

Verwijderd @RVE_NL • 4 april 2011 12:40

Ik ken het systeem niet, maar waar zit de fraude als je wel betaald?

RVE_NL @Verwijderd • 4 april 2011 12:44

Je kunt een 'nep' OV weekend of week abonnement erop zetten.

- Stel je hebt een week abonnement, dan moet je in het weekend natuurlijk wel betalen en dan moet er natuurlijk krediet opstaan.
- Misschien zetten mensen er geld op voor het geval de 'hack' niet meer werkt, kunnen ze nog altijd betalen

- Of de gebruiker heeft voordat hij de 'hack' toegepast had eerst betaald gereisd.

svenk91 @RVE_NL • 4 april 2011 12:47

Of je koopt de anonieme kaart met pin

Limaad @svenk91 • 4 april 2011 12:50

In hoeverre heeft TLS inzicht in de pingegevens van iemand die een anonieme kaart koopt?

Moartn @Limaad • 4 april 2011 12:57

Niet, maar als TLS aangifte doet, dan kan de politie die natuurlijk wel opvragen.

T-men @Moartn • 4 april 2011 16:03

Daar klets je jezelf makkelijk uit:
"Ik heb mijn annonime kaart geruild met iemand anders. Geen idee wie dat was, we wilden er beiden zeker van zijn dat we annoniem waren."

Als je het nog echt gedaan hebt, dan heb je helemaal een sterke zaak.

mtsr @T-men • 4 april 2011 17:08

Minder makkelijk dan je denkt, je kaart is persoonsgebonden en ruilen dus niet toegestaan en dat staat in de gebruiksvoorwaarden waarmee je akkoord bent gegaan.

Maw, ja, fraude bewijzen wordt lastiger, maar je zult nog steeds een boete kunnen krijgen.

stresstak @mtsr • 4 april 2011 17:23

Hoe wordt een anonieme kaart persoonsgebonden ? Als je die kaart vanzelfsprekend contant betaalt, je capuchon met bontrandje op houdt en je zonnebril ook. ?

Verwijderd @mtsr • 4 april 2011 17:41

...je kaart is persoonsgebonden en ruilen dus niet toegestaan en dat staat in de gebruiksvoorwaarden waarmee je akkoord bent gegaan.

De eerste advocaat die daarmee een rechtzaak wint tegen iemand die zegt: "Huh? Gebruiksvoorwaarden? Ik heb gewoon een kaartje gekocht bij de kiosk.", moet nog geboren worden.

blissard @T-men • 5 april 2011 07:57

@ T-men: resonable doubt is in Nederland onbekend. Aan dit soort trucs heb je niets bij een Nederlandse rechter.

Maikelvu @Moartn • 4 april 2011 12:59

Klopt, hetzelfde geld natuurlijk ook voor het kopen van tegoed met een bankpas.

PiepPiep @Limaad • 4 april 2011 13:15

Als de betalingen via een rekening van TLS gaan dan zien ze de naam van de tegenrekeninghouder.

Frank071 @PiepPiep • 4 april 2011 15:41

Als het gaat om de aanschaf van een anonieme OV chipkaart dan gaat het niet naar de bankrekening van TLS maar naar die van de winkelier. Die informatie zal dan door de politie gelicht moeten worden.

PiepPiep @Frank071 • 4 april 2011 16:13

Klopt, maar zijn die automaten bij de metro niet van TLS? Geen idee eigenlijk, ik heb er nog nooit op gelet.
En als je hem 1 keer oplaadt bij zo'n machine van TLS dan hebben ze genoeg natuurlijk.

stresstak @PiepPiep • 4 april 2011 17:24

En als je hem 1 keer oplaadt bij zo'n machine van TLS dan hebben ze genoeg natuurlijk.

Dat is dan ook erg ito en verdient bestraft te worden. Opladen bij degene die jij wilt belazeren is ernstig stom.

arjankoole

Beveiliging
Overheid

@PiepPiep • 5 april 2011 06:42

Klopt, maar zijn die automaten bij de metro niet van TLS? Geen idee eigenlijk, ik heb er nog nooit op gelet.
En als je hem 1 keer oplaadt bij zo'n machine van TLS dan hebben ze genoeg natuurlijk.

Nee, die zijn van de vervoerder zelf. Echter, die vervoerder is tevens een aandeelhouder van TLS, en zal dus direct dergelijke gegevens ophoesten.

Smht @Limaad • 5 april 2011 06:56

Het is meteen weer duidelijk hoe ontzettend goed een OV-chipkaart is voor privacy. Zagen ze al niet dat je op een bepaald traject reist, kunnen ze dus wel zien wie de kaart heeft gekocht en dan is het dus nog niet anoniem...?

Tsjah, toch maar weer aluminium hoedjes en contant geld anyone?

Tuurlijk heb je niets te vrezen van de overheid, maar kennelijk moet alles tegenwoordig getraceerd kunnen worden.

piratepraat @RVE_NL • 4 april 2011 15:57

Dan ben je dus als hacker zijnde gewoon dom. Koop dan 2 kaarten in plaats van eentje. Eentje om te hacken en om gratis mee te reizen, als deze het niet doet gebruik je gewoon de andere die je met je bankpas hebt opgeladen. Niemand die zo er nog achter komt, dit is dus gewoon dom.

PhilipsFan @piratepraat • 4 april 2011 23:41

Zelfs dit zou gebruikt kunnen worden om de fraudeur op te sporen. Als je de gegevens slim rangschikt zul je zien dat telkens na een mislukte poging met kaart x een geslaagde poging met kaart y volgt. De eigenaar van kaart y is bekend...

.oisyn Moderator Devschuur®

Beveiliging

@Verwijderd • 4 april 2011 13:05

Sowieso moet de kaart zelf ook aangeschaft worden. Meestal laat je er dan meteen wat geld op zetten. Daarnaast kun je natuurlijk ook pas later overgaan op fraude, terwijl je in eerste instantie gewoon eerlijk hebt gereisd.

Met andere woorden, wil je frauderen, koop dan een nieuwe kaart met cash en draag een capuchon en fopsnor

[Reactie gewijzigd door .oisyn op 23 juli 2024 12:51]

mat.hi.as @.oisyn • 4 april 2011 15:06

Dan kan je toch alles ook gewoon cash betalen en moet je niet zo stom zijn om met je bank te betalen?

stresstak @mat.hi.as • 4 april 2011 17:26

Dan kan je toch alles ook gewoon cash betalen en moet je niet zo stom zijn om met je bank te betalen?

Uiteraard. Ik heb niet eens een pinpas.

defixje @RVE_NL • 4 april 2011 12:40

Ja daar dacht ik ook gelijk aan. Lekker slim om dat te vermelden zeg. Dag opsporingsmogelijkheid

Durandal @defixje • 4 april 2011 13:22

En jij had het idee dat betalen met je bankpas anoniem was dan?

miw @defixje • 4 april 2011 13:36

Als je op de manier opgespoord kan worden, is de beste optie natuurlijk om een kaart van een ander te gebruiken. Betaal iemand 20 euro om zo'n niet zo anonieme kaart te kopen, regel een grootschalige kaart uitwisseling of wissel een kaart met een vriend. Dan kan TLS via hun backoffice achterhalen dat er fraude is gepleegd met een kaart die ooit eens aan persoon X toebehoorde. Dat is wat anders dan aantonen dat die persoon X ook inderdaad fraude heeft gepleegd.

tehsojiro @defixje • 4 april 2011 12:48

als er mensen in de eerste plaats dom genoeg waren om met hun pas te betalen zullen ze nu ook niet veel wijzer worden.

arjankoole

Beveiliging
Overheid

@defixje • 5 april 2011 06:45

Ja daar dacht ik ook gelijk aan. Lekker slim om dat te vermelden zeg. Dag opsporingsmogelijkheid

en hallo afschrikking.

mensen dachten nu veelal dat fraudeurs totaal onbestraft bleven, hierdoor schrikken ze en bedenken ze zich wel 10 keer voor ze een dergelijk geintje uithalen.

CobraVE 4 april 2011 13:42

maar zijn soms te achterhalen doordat ze met een bankpas geld op de kaart hebben gezet.

En wat nu als die kaart gejat is, of "kwijtgeraakt"? Of heeft TLS daar geen boodschap aan?

Tenzij ze op videobeelden hebben dat de echte eigenaar met die kaart heeft gereisd, hebben ze geen poot om op te staan. Ze kunnen namelijk niet bewijzen dat het de echte eigenaar is geweest die gefraudeerd heeft.

Rafe @CobraVE • 4 april 2011 13:55

En wat nu als die kaart gejat is, of "kwijtgeraakt"? Of heeft TLS daar geen boodschap aan?

Da's wel een goede, anonieme kaarten kan je niet blokkeren als ze zijn kwijtgeraakt. Maar als de fraude heeft plaatsgevonden tussen twee pintransacties die naar jouw persoon te herleiden zijn, ben je waarschijnlijk (als domme boef) het bokje.

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@Rafe • 4 april 2011 17:31

[...]

Da's wel een goede, anonieme kaarten kan je niet blokkeren als ze zijn kwijtgeraakt. Maar als de fraude heeft plaatsgevonden tussen twee pintransacties die naar jouw persoon te herleiden zijn, ben je waarschijnlijk (als domme boef) het bokje.

Goed, nu laat ik per ongeluk een dozijn OV-chipkaarten ergens op een station 'slingeren', waarna ze door een ander persoon vervalst worden. Of ik leen een kaart uit, geef hem weg, whatever.

Ben ik dan nog altijd aansprakelijk als ik die kaarten met een PIN-pas heb gekocht?

arjankoole

Beveiliging
Overheid

@Stoney3K • 5 april 2011 07:03

Ben ik dan nog altijd aansprakelijk als ik die kaarten met een PIN-pas heb gekocht?

Ik denk dat je daadwerkelijk gespot moet worden als 'reizende' met zo'n kaart. Dat is best eenvoudig.

Verwijderd @CobraVE • 4 april 2011 14:03

Als je je pinpas of chipkaart kwijt bent dan moet je daar sowieso altijd melding van doen zodat ze het kunnen blokkeren. Als je dat niet doet en er wordt misbruik van gemaakt dan ben jij er verantwoordelijk voor. Zoals dat ook is bij veel andere dingen.

CobraVE @Verwijderd • 4 april 2011 15:15

Pinpas is wel van een heel andere orde dan een digitale strippenkaart. Als je je ouderwetse strippenkaart of treinkaartje kwijtraakte moest je daar ook geen aangifte van doen. Alleen je OV, maar dit is geen OV als hij niet persoonsgebonden is.

wdulli 4 april 2011 12:38

Dan ben je toch niet slim als je met je bankpasje geld erop zet. Misschien een extra veiligheids functie om alleen met een pinpas geld op te waarderen. Kan je veel moeilijker frauderen toch

Weyland @wdulli • 4 april 2011 12:46

Het hele idee achter de hack is dat je geen bankpas meer nodig hebt, laat staan geld, om de kaart op te waarderen.

sumac @wdulli • 4 april 2011 12:48

Nee, want dan is die kaart niet meer anoniem. En dat was net de bedoeling van het ding.

Sgreehder @wdulli • 4 april 2011 12:47

Hmm, dan waarom nog een anonieme kaart aanbieden? Voor die paar extra centjes mensen verplichten NAW te overleggen om gebruik te maken van het OV? Nog even en we hebben een rijbewijs nodig voor op de fiets.

Elmo_nl @Sgreehder • 4 april 2011 13:17

Nog even en we hebben een rijbewijs nodig voor op de fiets.

Ik zal je nog beter vertellen: als jij dronken op de fiets zit en deelneemt aan het verkeer, mogen ze je rijbewijs innemen!

On-topic: Ik vraag mij af of diegene die de bankpas gebruikt om de OV kaart op te laden ook altijd de 'eigenaar' van de gehackte kaart is. Ik kan mij namelijk goed voorstellen dat ouders van een student hem/haar sponsoren door er geld op te zetten met hun pas zodat zoon/dochter lief kan reizen. Of je zal het er even opzetten voor je vriend of vriendin en dan krijg jij met dit soort onzin te maken. Zijn daar al berichten van/over?

GlowMouse @Elmo_nl • 4 april 2011 15:20

dat is een urban legend

Het is mij niet duidelijk wat er nou allemaal wordt bijgehouden met de ov-chipkaart. In- en uitchecken is logisch. De aankooplokatie en -tijd worden dus ook bijgehouden. En als je in de trein gecontroleerd wordt, dat dan ook nog?

En waarom zou TLS dit in het nieuws brengen als opsporing daadwerkelijk zo effectief is?

Durandal @Elmo_nl • 4 april 2011 13:26

Ik zal je nog beter vertellen: als jij dronken op de fiets zit en deelneemt aan het verkeer, mogen ze je rijbewijs innemen!

Moet je wel ver genoeg heen zijn om te vertellen dat je er een hebt..

BeerenburgCola @Durandal • 4 april 2011 13:40

Als jij een proces verbaal aan je broek krijgt (moet je het wel erg bont maken), check'd de politie gewoon hun database.
Weg roze briefje.

[Reactie gewijzigd door BeerenburgCola op 23 juli 2024 12:51]

Shadowhawk00 @BeerenburgCola • 4 april 2011 14:30

Ja dat kan formeel wel ja.
Of ze het ook ooit daadwerkelijk doen lijkt me sterk want hoe moet je dan uit de kroeg nog thuiskomen. Tenzij je in de kroeg woont is dat dan onmogelijk

timag @Shadowhawk00 • 4 april 2011 15:27

Je mag gewoon niet dronken over straat. Nog nooit gehoord van het artikel over openbare dronkenschap?

[Reactie gewijzigd door timag op 23 juli 2024 12:51]

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@timag • 4 april 2011 18:03

Je mag gewoon niet dronken over straat. Nog nooit gehoord van het artikel over openbare dronkenschap?

Kun je mij dan even uitleggen hoe je in zo'n situatie (als je de letter van de wet volgt) nog thuis kan komen? Want ook als je met iemand meerijdt of een taxi neemt moet je toch echt de straat op om in die auto te komen.

comecme @Stoney3K • 4 april 2011 21:04

Nou, simpel. Je moet dus gewoon niet zoveel drinken dat je dronken wordt.

Verwijderd @Stoney3K • 5 april 2011 01:36

...
[...]
Kun je mij dan even uitleggen hoe je in zo'n situatie (als je de letter van de wet volgt) nog thuis kan komen? Want ook als je met iemand meerijdt of een taxi neemt moet je toch echt de straat op om in die auto te komen

Haha, Het is als volgt. je mag op straat geen openbaar dronkenschap vertonen, ziet de politie jou raar fietseen, of raar loopen, wordt je hierop aangesproken en dan krijgt u meneer een bekeuring..

Heb het zelf namelijk ook meegemaakt bij een vriend van mij

arjankoole

Beveiliging
Overheid

@Stoney3K • 5 april 2011 06:49

[...]

Kun je mij dan even uitleggen hoe je in zo'n situatie (als je de letter van de wet volgt) nog thuis kan komen? Want ook als je met iemand meerijdt of een taxi neemt moet je toch echt de straat op om in die auto te komen.

Jij draait het om. Je mag niet dronken zijn op straat. Dus: zorg dat je niet dronken wordt.

Overigens hanteren agenten bij dat soort zaken altijd ' de geest van de wet '. Ze slingeren niet iedereen met een slok teveel op de bon. Maar mensen die gevaarlijk zijn/doen, en de openbare orde verstoren, kunnen ze heel handig pakken met die wet.

SirBlade @Shadowhawk00 • 4 april 2011 14:49

Lopend, taxi, of meerijden met iemand.

ManiacsHouse 4 april 2011 12:57

Euhm dat de kaart met jouw bankpas in aangeschaft is indirect bewijs. Zegt nog niks dat jij hem daadwerkelijk misbruikt hebt.
Tot op welke hoogte heeft TLS eigenlijk opsporingsbevoegdheid?

Verwijderd @ManiacsHouse • 4 april 2011 13:14

Daar heb je een punt. Maar ik neem aan dat het bij de wet is toegestaan om door middel van een onderzoek deze gegevens op te mogen vragen om zo de dader(s) op te kunnen sporen. Dit moet denk ik wel met toestemming van een hoge pief die bij de Justitie werkt.

MSalters

Wetgeving
Nederland

@Verwijderd • 4 april 2011 13:18

De "hoge pief" is een Officier van Justitie (OvJ). En dat is dus niet 1 persoon, we hebben er honderden.

tmnvanderberg @MSalters • 4 april 2011 15:08

"Een hoge pief" betekent niet automatisch "(1) hoge pief", of "De enige hoge pief".

hackerhater @ManiacsHouse • 4 april 2011 13:15

Geen. Het is gewoon een bedrijf. Ze kunnen aangifte doen bij vermoedens en dat is alles

Dingen 4 april 2011 13:08

Het "grappigste" van het hele verhaal is dat de ov-chipkaart oorspronkelijk is ingevoerd om zwartrijden tegen te gaan. Maar nu blijkt zwartrijden met de ov-chipkaart dus makkelijker dan ooit.

Amito @Dingen • 4 april 2011 13:15

Ik denk dat voorheen meer mensen zwart reden dan de enkele tientallen die het nu doen. Of er moet een grote groep zijn die ook niet opgemerkt worden met een gekraakte OV chip kaart.

arjankoole

Beveiliging
Overheid

@Amito • 5 april 2011 07:01

Ik denk dat voorheen meer mensen zwart reden dan de enkele tientallen die het nu doen. Of er moet een grote groep zijn die ook niet opgemerkt worden met een gekraakte OV chip kaart.

de meeste zwartrijders trappen gewoon de poortjes open, of sneaken met iemand mee. er zijn tal van stations waar geen bewaking bij die poorten staat. Dus als je reist buiten de grote stations om, dan kun je er makkelijk mee wegkomen.

Verwijderd @Dingen • 4 april 2011 13:26

En het is ook ingevoerd om de studenten beter te kunnen monitoren zodat er een realistische kosten plaatje gemaakt kan worden ipv dat ze moesten schatten hoeveel gebruik een student van een bepaalde ov dienst gebruik maakt.

Verwijderd @Dingen • 4 april 2011 13:23

Zwartrijden tegen te gaan? Ik denk eerder om miljonair te worden..

Tunda 4 april 2011 13:15

Kunt altijd nog met een zelfgemaakte chipknip betalen, is volledig anoniem en ook met een rfid lezer in elkaar te knutselen.

Durandal @Tunda • 4 april 2011 13:31

Goed idee, maar dan kan je net zo goed 'betalen' voor je OV.

ATS @Tunda • 4 april 2011 13:41

Maar die zijn makkelijk te spotten bij een controle door een conducteur. Het mooie van de hack was nu juist dat je met volledig legitieme spullen in de trein of tram zit, en de controleur het verschil tussen 'echt' en nep inchecken niet kan zien, omdat dat er op de kaart niet is.

Ik ben overigens wel benieuwd welke vorm van fraude ze nu gevonden hebben. Is het de vorm waarbij er zelf saldo op de kaart gezet wordt en er daarmee vrolijk wordt in- en uitgechecked (lijkt me vrij makkelijk te controleren), of is het de vorm waarbij de ingechecked status zelf door een RFID schrijver op de kaart gezet wordt? Die lijkt me veel lastiger te controleren.

cire @Tunda • 4 april 2011 19:11

Onzin. Een chipknip gebruikt geen rfid.

cestlavie2010 4 april 2011 13:58

bij je auto uitlenen is de kentekenhouder echter ook de Sjaak. Is bij wet geregeld dacht ik. Iets dergelijks zal ook wel in de voorwaarden van de ovchipkaart staan denk ik.Als je zegt dat hij gestolen is zal men hem laten blacklisten als ik het goed heb.

[Reactie gewijzigd door cestlavie2010 op 23 juli 2024 12:51]

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@cestlavie2010 • 4 april 2011 17:33

bij je auto uitlenen is de kentekenhouder echter ook de Sjaak. Is bij wet geregeld dacht ik. Iets dergelijks zal ook wel in de voorwaarden van de ovchipkaart staan denk ik.Als je zegt dat hij gestolen is zal men hem laten blacklisten als ik het goed heb.

Dat verhaal gaat dus niet op voor een anonieme kaart, die (in principe) als kaart niet aan NAW-gegevens zit gekoppeld. En daardoor kun je hem, net als bijvoorbeeld een strippenkaart, ook aan iemand anders geven.

Bovendien, als je wil melden dat je anonieme kaart is gestolen, ga je dan voor die gelegenheid de moeite nemen om een 16-cijferig kaartnummer uit je hoofd te leren?

stresstak @cestlavie2010 • 4 april 2011 18:01

Iets dergelijks zal ook wel in de voorwaarden van de ovchipkaart staan denk ik.Als je zegt dat hij gestolen is zal men hem laten blacklisten als ik het goed heb.

Maar bij de anonieme kaart gaat dat niet op.

Verwijderd 4 april 2011 12:49

Dus die kaart is helemaal niet anoniem terwijl je daar wel de prijs voor betaald...

LessRam @Verwijderd • 4 april 2011 14:02

Toch wel.... alleen door met je PIN te betalen haal je zelf de anonimiteit eraf. Eigen actie. Zelfde idee als die AH bonus passen e.d. Lang houd je hem bewust anoniem, dus die hele database met gekochte producten die stapelt zich bij AH wel op maar is nog niet gekoppeld aan een persoon. En dan op een dag heb jij of je partner geen contant geld bij betaald met PIN en HOPPAAAA..... je jaren anoniem gehouden aankopen worden opeens gekoppeld aan een naam.
Of nog leuker; je hebt nooit je PIN gebruikt en bij het afrekenen geef je ook nog even je Airmiles pas (die ook op naam staat). Of je hebt niet in de gaten dat je vriendin/vrouw ooit je bonus kaart heeft laten koppelen aan de airmiles pas voor het gemak, want dat hoeft ze niet meer 2 passen af te geven bij de kassa.

Zelfde met de anonieme OV pas, ooit maak je in een onoplettend moment de fout je pinpas te gebruiken, en dan worden opeens al je anonieme ook uit het verleden transacties gekoppeld !!

[Reactie gewijzigd door LessRam op 23 juli 2024 12:51]

Verwijderd @LessRam • 4 april 2011 18:19

Aangezien een anonieme kaart niet persoonsgebonden is klopt je verhaal niet.

DvE @Verwijderd • 4 april 2011 12:55

Precies, mogen ze die gegevens uberhaubt wel koppelen / bewaren / inzien?
Persoonsgegevens zijn dit lijkt me.

stoepie2002 @DvE • 4 april 2011 15:42

Volgens mij is dit niet toegestaan! Banken mogen mijn gegevens niet zomaar delen..... WBP

cire @stoepie2002 • 4 april 2011 19:08

Nee niet zomaar inderdaad. Maar de politie kan ongetwijfeld wel het 1 en ander opvragen...

arjankoole

Beveiliging
Overheid

@stoepie2002 • 5 april 2011 06:56

Volgens mij is dit niet toegestaan! Banken mogen mijn gegevens niet zomaar delen..... WBP

bij verdenking van fraude kan er opeens een stuk meer. De ov-chipkaart is een wettig betaalmiddel, en fraude plegen met een wettig betaalmiddel is best een pittig vergrijp.

PrinceXEvil 4 april 2011 12:56

Veel fraudeurs gebruiken anonieme kaarten, maar zijn soms te achterhalen doordat ze met een bankpas geld op de kaart hebben gezet.

Ik vind dit zo erg apart. Dit is echt schandalig. Waarom hadden wij ook alweer een "anoniem" kaartje? Oh ja, om anoniem te zijn, dit is dus een terechte reden om de zaak opnieuw te bekijken en anoniem ook ECHT anoniem te laten. Eindelijk geven ze het toe.

MSoft06 @PrinceXEvil • 4 april 2011 13:07

Dan ben je echt heel naief zeg,als je echt dacht dat het anoniem is. Alle transacties worden geregistreerd op het betalingsverkeer dus ook naar deze toe.
Hierin schuilt 1 probleem en dat is dat ze niet zomaar mogen opvragen van wie bankrekeningnr 123456789 is en dit zal dus dmv aangifte moeten worden geregeld.

Zij doen dit alleen maar in de gevallen waarin ze vermoeden dat er sprake is van fraude.

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@MSoft06 • 4 april 2011 13:29

Hierin schuilt 1 probleem en dat is dat ze niet zomaar mogen opvragen van wie bankrekeningnr 123456789 is en dit zal dus dmv aangifte moeten worden geregeld.

En als er nu op grote schaal gefraudeerd gaat worden met anonieme kaarten is dat voor Trans Link Systems gewoon onbegonnen werk en levert het ze meer op om moeite te gaan steken in het vinden van een nieuwe chip.

Snap je nu ook een beetje het nut van een hack als dit?

MSoft06 @Stoney3K • 4 april 2011 13:35

ik snap heel goed het punt van de hack, maar maakt stelen van geld geoorlloofd?
Stel iemand maakt een sleutel waarmee je elke auto kan besturen, wordt het dan ineens geoorloofd om elke auto op ieder willekeurig moment mee te nemen, tja, moeten ze de sloten maar maken hoor.

Rare conclusie die jij hieraan stelt.

Stoney3K

Wetgeving
Overheid
Nederland
Internet

@MSoft06 • 4 april 2011 13:44

ik snap heel goed het punt van de hack, maar maakt stelen van geld geoorlloofd?
Stel iemand maakt een sleutel waarmee je elke auto kan besturen, wordt het dan ineens geoorloofd om elke auto op ieder willekeurig moment mee te nemen, tja, moeten ze de sloten maar maken hoor.

Als je de enige bent met zo'n sleutel, dan kun je het nog beschouwen als diefstal (en ook dan alleen als je zoiets doet voor eigen gewin).

Wordt het door bijna iedereen op grote schaal gebruikt, dan wordt het burgerlijke ongehoorzaamheid omdat het dan duidelijk niet meer te handhaven is. Je kan misschien wel één persoon met zo'n sleutel oppakken, maar als er nog 4 miljoen mensen zo'n ding hebben (omdat vrij op het internet staat hoe je zo'n ding kan maken) wordt het toch een beetje lastig bijhouden. Je kan immers moeilijk het halve land in de cel gaan smijten.

Met de TLS-hack is juist aangetoond en gepubliceerd hoe je op grote schaal bijna onnavolgbaar kan frauderen. Het is alleen maar wachten tot er een clubje grapjassen op een paar stations de hele vloer vol strooit met opgeladen OV-chipkaarten.

Met telefoons met NFC wordt het straks nog een keer leuker.

PrinceXEvil @Stoney3K • 4 april 2011 13:51

Ik vind jullie allebei heel veel aannames aan het maken zijn. Ik weet dat een anonieme kaart niet anoniem is. In de Tweede Kamer was het namelijk nogal is ter discussie gesteld. Nu geven ze zelf toe dat de anonieme kaart niet anoniem is, door de combinate met opwaardering via de bank. Daar ging het mij om.

Dit is een belangrijk argument om de discussie opnieuw te beginnen, sommige mensen zoals ikzelf ben erg gesteld met mijn privacy.

tmnvanderberg @Stoney3K • 4 april 2011 15:05

Wat heeft dit in godesnaam met burgelijke ongehoorzaamheid te maken? Je denkt toch niet dat dit een protestactie is o.i.d? Wat deze mensen doen is gewoon diefstal. Hoe slecht de beveiliging ook is, en hoe veel beter onze privacy gewaarborgt had moeten worden, deze ratten bestelen de boel gewoon.

Verwijderd @MSoft06 • 5 april 2011 01:56

k snap heel goed het punt van de hack, maar maakt stelen van geld geoorlloofd?
Stel iemand maakt een sleutel waarmee je elke auto kan besturen, wordt het dan ineens geoorloofd om elke auto op ieder willekeurig moment mee te nemen, tja, moeten ze de sloten maar maken hoor.

Rare conclusie die jij hieraan stelt.

Zo'n auto sleutel is er al, vooral bij de nieuwe auto's werkt dit met een computer inggeboud waarvan de sleutels dmv een druk op de knop bijna alle auto's opent binnen een straal van 100 meter.

Rafe @Stoney3K • 4 april 2011 13:43

Nieuwe chip is er al (SmartMX). Maar zolang de kosten van het frauderen minder zijn dan het versneld invoeren van OV-chipkaarten met SmartMX, zullen ze het via natuurlijk verloop laten gebeuren.

arjankoole

Beveiliging
Overheid

@PrinceXEvil • 5 april 2011 06:59

k vind dit zo erg apart. Dit is echt schandalig. Waarom hadden wij ook alweer een "anoniem" kaartje?

Het is, zoals e.e.a. in het systeem opgeslagen wordt, anoniem. En voldoet volledig aan de wet in dat opzicht. ECHTER, zodra er sprake is van fraude, dan gaan er hele andere regels in werking, en mogen diverse niet gekoppelde gegevens gekoppeld worden in het kader van het onderzoek om te achterhalen wie de fraudeur is.

Dat kan in veel gevallen niet uitsluitend met data van TLS zelf, daar zullen andere bedrijven ook gegevens van moeten overleggen. Ergo, daar is een bevel voor nodig. Aangezien fraude met een wettig betaalmiddel (en dat is de ov-chipkaart) best een zwaar vergrijp is, is dat doorgaans weinig moeite om te krijgen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (202)

Sorteer op:

Weergave: