Nieuws

Taakstraf en geldboete voor fraude met ov-chipkaarten

donderdag 14 februari 2019, 13:53 door Redactie, 19 reacties

De Rechtbank Rotterdam heeft een verdachte voor het frauderen met ov-chipkaarten veroordeeld tot een taakstraf en geldboete. De verdachte hield zich in 2014 bezig met het opwaarderen van het saldo van ov-chipkaarten. Vervolgens werden deze kaarten aan anderen gegeven, die het saldo op de kaarten verschillende malen contant lieten uitbetalen. Daarna werden de kaarten weer opgewaardeerd.

Trans Link Systems (TLS,) uitgever van de ov-chipkaart en beheerder van tegoeden van ov-chipkaarthouders, ontdekte dat er in april 2014 was gefraudeerd met vier ov-chipkaarten. Het beginsaldo van de transacties op de kaarten kon niet worden gerelateerd aan het eindsaldo van de voorgaande transactie. Zonder dat dit zichtbaar was in de systemen van TLS had iemand het saldo op de kaarten opgewaardeerd.

Verder bleek dat de betreffende kaarten voor een "refund" waren aangeboden aan de balie van Rotterdam Centraal en bij de servicewinkel van de RET. Daarbij kregen de kaarthouder telkens het gehele kaartsaldo contant uitbetaald. In december 2014 vond er een huiszoeking bij de verdachte plaats, waarbij een laptop werd aangetroffen met daarop software die het mogelijk maakt om ov-chipkaarten te manipuleren en software om kaartlezers van een bepaald type te laten functioneren. In de auto van de partner van de verdachte werd eenzelfde type kaartlezer aangetroffen.

Volgens de rechter staat vast dat de verdachte het saldo op de ov-chipkaarten heeft aangepast. "Door dit handelen is niet alleen vervoersbedrijf RET misleid, maar is ook Trans Link Systems als beheerder van het betaalsysteem benadeeld. Bovendien is door dit handelen het vertrouwen in het elektronische gegevensverkeer geschaad. Slechts door de alerte reactie van de afdeling clearing & settlement van TLS is aan dit handelen een einde gekomen en is de schade beperkt gebleven", aldus het vonnis.

De rechter veroordeelde de verdachte wegens computervredebreuk, oplichting en het in bezit hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een misdrijf, namelijk een kaartschrijver/kaartlezer en daarbij behorende software, tot een geldboete van 2.000 euro en onvoorwaardelijke taakstraf van 60 uur. Bij het bepalen van de taakstraf heeft de rechter rekening gehouden met de "forse overschrijding" van Artikel 6 van het Europees Verdrag voor de Rechten van de Mens, dat het recht op een eerlijk proces moet waarborgen.

Google test automatische upgrade naar https in Chrome

Minister gaat niet in op onderzoeken naar hybride oorlogsvoering

Reacties (19)

14-02-2019, 14:43 door Anoniem

Te absurd voor woorden.

Als die mafketels een technologie aan mensen geven die zo makkelijk te hacken is
(contactloos betalen, ov chipkaart)

die zo makkelijk op te waarderen is,

Dan hoort hier geen straf voor te zijn; dan moet het BEDRIJF DAT DEZE ZOOI VERKOOPT AANSPRAKELIJK GESTELD WORDEN DOOR DE STAAT!

rare wereld!

14-02-2019, 15:07 door spatieman

kuch, met de huidige prijzen van het OV niet verwonderlijk, kuch.

14-02-2019, 15:08 door Anoniem

Bovendien is door dit handelen het vertrouwen in het elektronische gegevensverkeer geschaad.

Dan was dat vertrouwen dus allesbehalve terecht. Ik snap de uitspraak van rechter wel, maar de zwakke beveiliging was allesbehalve vertrouwen waard, dat is toendertijd ook uitgevoerig aangetoond door Brenno de Winter.

14-02-2019, 15:09 door Anoniem

En waarom wordt TLS zelf dan niet verdacht van oplichting? Met de prijzen die ze hanteren voor het aanschaffen van een ov-chipkaart wat nog geen euro kost, wel verkopen voor 7,50 euro (of wat het dan ook kost tegenwoordig) met een geldigeheidsdatum erop.

14-02-2019, 15:15 door Anoniem

Bovendien is door dit handelen het vertrouwen in het elektronische gegevensverkeer geschaad.

Dus omdat de consument door kan krijgen dat een systeem niet deugt, mag je het vertrouwen in een elektronisch systeem niet schaden! Hmmm.

14-02-2019, 15:55 door Anoniem

Voor de aluhoedjes: hier zie je de reden dat er geen anonieme chipknips en vergelijkbare bankpassen bestaan.

14-02-2019, 16:16 door Anoniem

"Door dit handelen is niet alleen vervoersbedrijf RET misleid, maar is ook Trans Link Systems als beheerder van het betaalsysteem benadeeld."

In dit geval heeft Trans Link werkelijk geen moer te vertellen. Welke idiote organisatie verzint een betaling systeem waarbij het saldo op de kaart wordt beheerd in plaats van een centrale server! Ze komen er goed vanaf, maar eigenlijk valt dit meer onder een security risico factor die ze hebben aangenomen bij de implementatie.

14-02-2019, 17:29 door karma4

Door Anoniem: Te absurd voor woorden.

Als die mafketels een technologie aan mensen geven die zo makkelijk te hacken is
(contactloos betalen, ov chipkaart)

die zo makkelijk op te waarderen is,

Dan hoort hier geen straf voor te zijn; dan moet het BEDRIJF DAT DEZE ZOOI VERKOOPT AANSPRAKELIJK GESTELD WORDEN DOOR DE STAAT!

rare wereld!

Veel misdaad is uiterst makelij te plegen. Dat is gee reden om alke misdaad maar goed te praten. Doe je dat dan ben je het aan het faciliteren en glij je af naar de zelfkant.

14-02-2019, 21:00 door ph-cofi

Door Anoniem: Te absurd voor woorden. (...) rare wereld!

Rare (alhoewel erg Nederlandse) mentaliteit. Je vergoelijkt fraude omdat het volgens jou makkelijk te plegen is.

14-02-2019, 22:27 door Anoniem

Taakstraf en geldboete terecht, want "Gij zult niet stelen".

Maar men mag ook niet de kat op het spek binden, maar dient te zorgen, dat de redenatie andersom ook niet geldt:

"Door een onveilige implementatie van de OV chipkaart kunnen alle reizigers benadeeld of tekortgedaan worden".

En dat gaat jaarlijks om vele miljoenen niet teruggeist geld, waar men een leuk uitje voor zou kunnen hebben.

Dus misschien is het waar dat men technische implicaties omhelst omdat ze zo fijn profijtelijk kan zijn.

Men zou de overtreders onder toezicht kunnen inzetten als ethische hackers om dit beter tegen te kunnen gaan.

15-02-2019, 00:11 door Anoniem

Door Anoniem:

Bovendien is door dit handelen het vertrouwen in het elektronische gegevensverkeer geschaad.

Dan was dat vertrouwen dus allesbehalve terecht.

Dit dus. Nu wil je absoluut niet weten hoe vreselijk brak en kwetsbaar ongeveer al zulke systemen zijn, maar dat als de goudstandaard ophouden gaat me dan ook weer wat te ver.

Ik snap de uitspraak van rechter wel, maar de zwakke beveiliging was allesbehalve vertrouwen waard, dat is toendertijd ook uitgevoerig aangetoond door Brenno de Winter.

Nou, ik denk dat de rechter hiermee TLS de hand boven het hoofd houdt. Kijk, de veroordeelde heeft dan wel gewoon fraude gepleegd en dient daar dus ook gewoon voor te boeten, maar tegelijkertijd heeft TLS beweerd dat hun systemen veilig zouden zijn en dat zijn ze dus gewoon (alweer) niet. En daar mag TLS ook best voor op de blaren zitten. Maar voorlopig worden ze iedere keer weer beloond voor falen. En dat schuurt.

Door Anoniem: En waarom wordt TLS zelf dan niet verdacht van oplichting? Met de prijzen die ze hanteren voor het aanschaffen van een ov-chipkaart wat nog geen euro kost, wel verkopen voor 7,50 euro (of wat het dan ook kost tegenwoordig) met een geldigeheidsdatum erop.

Omdat ze de zegen van de politiek hebben voor hun monopolie. En dus komen ze overal mee weg.

Door Anoniem:

Bovendien is door dit handelen het vertrouwen in het elektronische gegevensverkeer geschaad.

Dus omdat de consument door kan krijgen dat een systeem niet deugt, mag je het vertrouwen in een elektronisch systeem niet schaden! Hmmm.

Terwijl er nou juist geclaimd was dat het systeem robuust zou zijn tegen fraude. Hmmm indeed.

Door Anoniem: Voor de aluhoedjes: hier zie je de reden dat er geen anonieme chipknips en vergelijkbare bankpassen bestaan.

Uh, nee, dit is niet de reden. Bankpassen zijn altijd gekoppeld geweest aan een achterliggende rekening. chipknips en chippers en nu rfid/nfc-betalen zijn net zo goed (en met minder reden) nog steeds aan een rekening gekoppeld. Met een "anonieme" rekening kan je dus ook een net-zo-"anonieme" bankpas hebben. Dat je geen anonieme rekening mag hebben ligt ergens anders aan. (En die reden is geopolitiek.)

Door Anoniem: "Door dit handelen is niet alleen vervoersbedrijf RET misleid, maar is ook Trans Link Systems als beheerder van het betaalsysteem benadeeld."
In dit geval heeft Trans Link werkelijk geen moer te vertellen. Welke idiote organisatie verzint een betaling systeem waarbij het saldo op de kaart wordt beheerd in plaats van een centrale server! Ze komen er goed vanaf, maar eigenlijk valt dit meer onder een security risico factor die ze hebben aangenomen bij de implementatie.

TLS heeft dit verzonnen, uitgewerkt, opgebouwd, en uitgerold. Dat hadden ze ook anders kunnen doen. Dus ze hadden alles te vertellen gehad, zolang ze het maar op tijd gedaan hadden. En aangezien dit precies een onderdeel van hun core business is, is het heel raar (maar ondertussen alles behalve onverwacht) dat ze daar iedere keer zo'n modderfiguur weten te slaan.

15-02-2019, 00:13 door Briolet

Door Anoniem: Te absurd voor woorden.

Als die mafketels een technologie aan mensen geven die zo makkelijk te hacken is…)

Ruiten kun je ook hel simpel ingooien. Toch heeft >99% van de mensen niet permanent een stalen rolluik voor hun zo makkelijk in te gooien ruiten. Als bij jou de ruiten ingegooid worden, wordt je vast boos op de dader en ga je ook niet jezelf de schuld geven.

De foute persoon is hier toch echt diegene die de ander probeert op te lichten.

15-02-2019, 08:16 door Anoniem

Door Anoniem: ...het BEDRIJF DAT DEZE ZOOI VERKOOPT AANSPRAKELIJK GESTELD WORDEN DOOR DE STAAT!

Onzin. De stroomleveranciers worden ook niet aangepakt voor e stroom die ze leveren aan wietgroeiers.
De lampenboer (bv Phlips) wordt ook niet aangepakt. De electricien en de huurder wel.

15-02-2019, 08:25 door Anoniem

Bij het bepalen van de taakstraf heeft de rechter rekening gehouden met de "forse overschrijding" van Artikel 6 van het Europees Verdrag voor de Rechten van de Mens, dat het recht op een eerlijk proces moet waarborgen.

Weet iemand wat hier precies gebeurd is? Het vonnis gaat niet dieper in op de situatie.

Met alle respect, dit ben ik niet eens. Dat mensen hun spullen onvoldoende beveiligen wil nog niet zeggen dat er dan ook misbruik van gemaakt mag worden. Zelfs niet bij machtige organisaties.

Als we een grotere aansprakelijkheid van dergelijke organisaties willen hebben, is een meer rechtstreekse benadering nodig. Bijvoorbeeld nalatigheid als misdrijf (dood/letsel/schade/fraude door schuld) een sterkere juridische basis geven. Men kan er wel over spreken dat er straf voor moet zijn èn dat het bedrijf aansprakelijk gesteld wordt. Zeker indien (zoals in dit geval) over de problematiek waarschuwingen van deskundigen te over zijn geweest.

15-02-2019, 09:25 door Anoniem

Die kaart bevat toch alleen een (electronische) identifier die in het backend gekoppeld is aan een saldo (mag ik hopen)? Of staat het daarwerkelijke saldo ook op de kaart geregistreerd?
In dat eerste geval snap ik niet helemaal hoe die kaarten te manipuleren zijn. Het tweede geval lijkt op de early webshops die via javascript het winkelwagentje client-side 'beheerde' Dat was dus relatief eenvoudig aan te passen (veel kopen voor weinig geld) en valt dan onder een fail bij de ontwikkelaar van het systeem.

15-02-2019, 09:37 door Tha Cleaner

Dus..... Als ik mijn voordeur niet goed dicht doe, mag jij gewoon alles in mijn huis nee nemen? Of als iemand een minder goed slot op de voordeur heeft zitten?

Je reactie is eigenlijk een hele trieste..... Maar ja de beste stuurlui staan altijd aan wal.

rare wereld!

Helemaal met je eens. Als je ziet hoe sommige mensen denken, dan leven we in een rare wereld. Ik neem trouwens wel aan, dat je het over je eigenlijk topic had?

15-02-2019, 11:11 door Anoniem

Bovendien is door dit handelen het vertrouwen in het elektronische gegevensverkeer geschaad

Daar zou hij eerder een belonging dan een straf voor moeten krijgen.

15-02-2019, 16:58 door Anoniem

Door Anoniem: Die kaart bevat toch alleen een (electronische) identifier die in het backend gekoppeld is aan een saldo (mag ik hopen)? Of staat het daarwerkelijke saldo ook op de kaart geregistreerd?

Dat laatste. Wat wel een redelijk harde eis is gezien alle makkes elders in het systeem. Het ligt nu al vaak genoeg op z'n gat. Zonder lokaal saldo zou de ellende helemaal niet te overzien zijn. Denk maar na, in dat scenario zou elk paaltje continue een verbinding met het backend moeten hebben. Nu hoeven niet alle paaltjes dat, en niet continue.

Het gevolg van deze TLS-opzet is wel dat de beveiliging dus afhangt van de sterkte van de encryptie op de kaart zelf, en dat was bij de vorige ronde waar deze gratis-saldo-op-je-kaart-fraude vrij grootschalig geprobeerd werd reden voor TLS om schoorvoetend dan toch maar iets betere kaartjes in te voeren die minder makkelijk te kraken waren.

Wat wel een redelijk grote blamage was want ze hadden tot dan toe volgehouden dat betere kaartjes echt niet konden, te duur waren, en ook helemaal niet nodig waren want ze hadden de reizigers toch wel in de smiezen met allerlei databases en ach de encryptie was toch wel sterk genoeg. Terwijl er links en rechts mensen demonstreerden hoe de encryptie te kraken. Dat was wel een aardig "Baghdad Bob"-momentje voor TLS.

Kennelijk heeft er iemand uitgevogeld hoe de betere kaartjes die nu in gebruik zijn toch te kunnen manipuleren. Lijkt me interessant te weten hoe dan. Zeker aangezien dit type kaartjes ook in bijvoorbeeld de Londense oyster-card terug te vinden zijn. (Transport for London had overigens veel minder moeite met precies dezelfde overgang. Heel toevallig.)

[...] en valt dan onder een fail bij de ontwikkelaar van het systeem.

Dat is bij TLS gezien de vele eerdere "prestaties" wel zo'n beetje een gegeven, in ieder geval veiligheidshalve aan te nemen.

17-02-2019, 19:14 door Anoniem

Door Tha Cleaner:
Dus..... Als ik mijn voordeur niet goed dicht doe, mag jij gewoon alles in mijn huis nee nemen? Of als iemand een minder goed slot op de voordeur heeft zitten?

Nee. Jij hebt geen dure spullen te kopen of zaken in je huis op te slaan waar je aan gehecht bent.

De kapitalisten inclusief bewoners van Nederland parasiteren op de 3e wereld.

Parasiteren, want Nederland is 10 van de 12 maanden onbewoonbaar zonder verwarming.

Parasiteren, want ze zijn een kanker voor moeder aarde.

Een normaal mens woont in een warm land, verbouwt eigen eten (geen vlees, vis, roken, alcohol etc. etc)
En produceert, zonder geld, zijn eigen rijkdom.

C.q. iedereen heeft recht op dat wat hij NODIG HEEFT (eten, onderdak, warmte van de zon) en niet wat hij wilt.

De wereld is tegenwoordig gebouwt op wat mensen willen (leven op comfortbasis), dat gaat niet lang meer duren hoor.

C.q. iedereen die in armoede leeft heeft zeker het recht om luxe artikelen bij anderen, zonder daarvoor te moeten hoeven boeten, weg te halen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer