Gratis reizen door beveiligingsfout in OV-wegwerpkaarten
Studenten van de Universiteit van Amsterdam hebben een fout in de beveiligingssoftware voor papieren wegwerpkaarten voor het openbaar vervoer ontdekt, waardoor kaarten opnieuw te gebruiken waren. De studenten ontdekten tijdens een beveiligingsonderzoek dat door een softwarefout in de kaartlezer van de poortjes papieren wegwerpkaarten te manipuleren en opnieuw te gebruiken zijn.
Het probleem werd niet veroorzaakt door de wegwerpkaart zelf, maar door de software in bepaalde kaartlezers die op metrostations de geldigheid van wegwerpkaarten controleren. De standaard OV-chipkaart zou niet kwetsbaar zijn, maar alleen de papieren wegwerpvariant die bedoeld is voor kortdurend gebruik in het stadsvervoer van Amsterdam en Rotterdam door bijvoorbeeld toeristen. De betrokken openbaar vervoerbedrijven zeggen de software in de apparatuur aan te zullen passen.
Reacties (14)
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
Door Anoniem
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
Wat een onzin. Natuurlijk kan je ook met deze beperkte kaarten ook een OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
goede oplossing bouwen.
[/quote]Wat een onzin. Natuurlijk kan je ook met deze beperkte
kaarten ook een
goede oplossing bouwen.
[/quote]
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar!
kaarten ook een
goede oplossing bouwen.
[/quote]
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar!
Wat is nu een echte verbetering van de OV chipkaart
tegenover de strippenkaart, beide worden afgewaardeerd bij
gebruik, opladen of een nieuwe kopen is ook weinig
vernieuwend te noemen.
En foutieve af- of opwaarderingen op de OV chipkaart, heeft
de chauffeur dan ook een correctiemiddel (een stikkertje en
stempel was voldoende bij een strippenkaart) denk van niet !
Wel leuk voor alle minima die van hun laatste euro's hun OV
chipkaart opwaarderen en vervolgens de volgende dag moeten
frauderen om op het werk te komen en/of hun kinderen van
school te kunnen halen door een 'vaudtje' in het systeem...
(helaas voor u, dat zijn kinderziektes)
Zou het dan toch echt alleen maar te maken hebben met het op
zeer grote schaal volgen van OV gebruikers....
Maar goed, er is een massa studenten bezig met het
onderzoeken van de systemen zoals ik uit dit stuk mag
aannemen dus zal ook de belastingdienst, het uwv, het svb en
defensie binnenkort geheel verlost zijn van problemen,
kinderziektes en is 100% fraude bestendig....
Vreemd dat de files steeds langer zijn en zullen worden........
tegenover de strippenkaart, beide worden afgewaardeerd bij
gebruik, opladen of een nieuwe kopen is ook weinig
vernieuwend te noemen.
En foutieve af- of opwaarderingen op de OV chipkaart, heeft
de chauffeur dan ook een correctiemiddel (een stikkertje en
stempel was voldoende bij een strippenkaart) denk van niet !
Wel leuk voor alle minima die van hun laatste euro's hun OV
chipkaart opwaarderen en vervolgens de volgende dag moeten
frauderen om op het werk te komen en/of hun kinderen van
school te kunnen halen door een 'vaudtje' in het systeem...
(helaas voor u, dat zijn kinderziektes)
Zou het dan toch echt alleen maar te maken hebben met het op
zeer grote schaal volgen van OV gebruikers....
Maar goed, er is een massa studenten bezig met het
onderzoeken van de systemen zoals ik uit dit stuk mag
aannemen dus zal ook de belastingdienst, het uwv, het svb en
defensie binnenkort geheel verlost zijn van problemen,
kinderziektes en is 100% fraude bestendig....
Vreemd dat de files steeds langer zijn en zullen worden........
Door Anoniem
Wat een onzin. Natuurlijk kan je ook met deze beperktekaarten ook een
goede oplossing bouwen.
[/quote]
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar![/quote]
Of tenminste elke keer dat er een verbinding is de lijst met 'gebruikte 'ID's
op de handterminal laden .... (of bijwerken).
Door Anoniem
kaarten ook een
goede oplossing bouwen.
Is dit een gebrek aan kennis of een hopeloos optimisme in deDoor Anoniem
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
Wat een onzin. Natuurlijk kan je ook met deze beperkteOV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
kaarten ook een
goede oplossing bouwen.
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
Door Anoniem
kaarten ook een
goede oplossing bouwen.
Door Anoniem
Wat een onzin. Natuurlijk kan je ook met deze beperktekaarten ook een
goede oplossing bouwen.
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar![/quote]
Of tenminste elke keer dat er een verbinding is de lijst met
'gebruikte 'ID's
op de handterminal laden .... (of bijwerken).[/quote]
Dat zal je weinig brengen: Stel je voor, jij loopt met je OV
chipkaart door het poortje het perron op. Je hebt net je
kaart ingemeld. De controleur staat op het perron of in de
metro te controleren. Dan moet hij dus eerst een verbinding
maken om te updaten?
Het vage systeem is zo ontworpen dat je je inmeld EN afmeld
en pas dan wordt berekend hoe lang je in het OV hebt
gezeten. In tegenstelling tot de strippenkaart. Daar
stempelde je vooraf. Meld je je niet af met je OV chipkaart
dan wordt een dagtarief afgeboekt. En hoe kan een reiziger
dit checken nadat hij het OV heeft verlaten. Een chippas kun
je tenminste nog overal in een automaat stoppen om te
checken wat je saldo is.
Door Anoniem
Het vage systeem is zo ontworpen dat je je inmeld EN afmeld
en pas dan wordt berekend hoe lang je in het OV hebt
gezeten. In tegenstelling tot de strippenkaart. Daar
stempelde je vooraf. Meld je je niet af met je OV chipkaart
dan wordt een dagtarief afgeboekt. En hoe kan een reiziger
dit checken nadat hij het OV heeft verlaten. Een chippas kun
je tenminste nog overal in een automaat stoppen om te
checken wat je saldo is.
Dat is dus ook het grootste bezwaar tegen dit systeem... hetHet vage systeem is zo ontworpen dat je je inmeld EN afmeld
en pas dan wordt berekend hoe lang je in het OV hebt
gezeten. In tegenstelling tot de strippenkaart. Daar
stempelde je vooraf. Meld je je niet af met je OV chipkaart
dan wordt een dagtarief afgeboekt. En hoe kan een reiziger
dit checken nadat hij het OV heeft verlaten. Een chippas kun
je tenminste nog overal in een automaat stoppen om te
checken wat je saldo is.
is niet transparant voor de gebruiker. Dat is tot op zekere
hoogte ook inherent aan de manier waarop het systeem
geimplementeerd is. En laten we wel zijn, de keuze is niet
gemaakt om eindgebruikers meer gemak te geven, maar om de
OV-bedrijven in Nederland minder kashandelingen te laten
verrichten. Het is gewoon kostenbesparing die onder de
noemer van gemak bij de burgers door de strot gedrukt wordt.
Laten we eens als gedachtenexperiment aannemen dat er door
een softwarefout bij iedere 100e klant het dagtarief
afgeboekt wordt. Hoe kom je daar achter? En als je daar al
achter komt, hoe ga je dat kunnen declareren? En wat als er
per ongeluk een tariefwijziging wordt doorgevoerd, ook
d.m.v. een softwarefout? Hoe gaan OV-bedrijven daarmee om?
De transparantie is verdwenen bij gebruik van de chipkaart.
Tuurlijk zal er een mogelijkheid zijn om na afloop van de
reis het saldo op je kaart te checken. Maar wie gaat dat in
de praktijk doen?
Door Anoniem
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
Helaas voor jou ben jij degene die blijk geeft van onwetendheid. Ik spreek Door Anoniem
kaarten ook een
goede oplossing bouwen.
Is dit een gebrek aan kennis of een hopeloos optimisme in deDoor Anoniem
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
Wat een onzin. Natuurlijk kan je ook met deze beperkteOV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
kaarten ook een
goede oplossing bouwen.
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
uit ervaring. Het is overigens geen rocket science, gewoon even logisch
nadenken en je niet teveel laten leiden door de techniek.
Even googlen werkt ook ;-)
Door Anoniem
onwetendheid. Ik spreek
uit ervaring. Het is overigens geen rocket science, gewoon
even logisch
nadenken en je niet teveel laten leiden door de techniek.
Even googlen werkt ook ;-)
Dat zal best. Voorlopig ben jij egene die met al je ervaringDoor Anoniem
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
Helaas voor jou ben jij degene die blijk geeft vanDoor Anoniem
kaarten ook een
goede oplossing bouwen.
Is dit een gebrek aan kennis of een hopeloos optimisme in deDoor Anoniem
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
Wat een onzin. Natuurlijk kan je ook met deze beperkteOV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
kaarten ook een
goede oplossing bouwen.
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
onwetendheid. Ik spreek
uit ervaring. Het is overigens geen rocket science, gewoon
even logisch
nadenken en je niet teveel laten leiden door de techniek.
Even googlen werkt ook ;-)
een verbazingwekkend gebrek aan argumenten op tafel legt.
Als je het dan ook nog een sgaat gooien op logisch nadenken
en niet teveel laten leiden door techniek, dan weet ik wel
hoe laat het is.
Door Anoniem
Wel leuk voor alle minima die van hun laatste euro's hun OV
chipkaart opwaarderen en vervolgens de volgende dag moeten
frauderen om op het werk te komen en/of hun kinderen van
school te kunnen halen door een 'vaudtje' in het systeem...
(helaas voor u, dat zijn kinderziektes)
Lekker tendentieus om hier de minima weer bij te slepen zeg.Wel leuk voor alle minima die van hun laatste euro's hun OV
chipkaart opwaarderen en vervolgens de volgende dag moeten
frauderen om op het werk te komen en/of hun kinderen van
school te kunnen halen door een 'vaudtje' in het systeem...
(helaas voor u, dat zijn kinderziektes)
Zal ik dan tendentieus reageren door te stellen dat minima
niet naar hun werk gaan, maar thuis op hun bijstand blijven
wachten? Te makkelijk, toch?
Hoeveel anoniemen zijn er hier eigenlijk?
Weten jullie wel dat jullie gegevens op straat liggen, met
invoering van de ov-chipkaart?
Anoniem, nummer III of IV, gelukkig kan dat nog op deze site
Weten jullie wel dat jullie gegevens op straat liggen, met
invoering van de ov-chipkaart?
Anoniem, nummer III of IV, gelukkig kan dat nog op deze site
Door Anoniem
Hoeveel anoniemen zijn er hier eigenlijk?
Weten jullie wel dat jullie gegevens op straat liggen, met
invoering van de ov-chipkaart?
Anoniem, nummer III of IV, gelukkig kan dat nog op deze
site
wel eens van de anonieme ov kaart gehoord?Hoeveel anoniemen zijn er hier eigenlijk?
Weten jullie wel dat jullie gegevens op straat liggen, met
invoering van de ov-chipkaart?
Anoniem, nummer III of IV, gelukkig kan dat nog op deze
site
10-11-2007, 11:47 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
