Saldo van elke ov-chipkaart is te eenvoudig in te zien

[English version]

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart. Het enige wat je hoeft in te voeren, is het kaartnummer. Dit voelt wat ongemakkelijk met het oog op privacy.

Zo ziet het resultaat eruit nadat ik hier een kaartnummer invoer.:

Zoals u kunt zien is hier het huidige saldo te zien van de ov-chipkaart. Daarnaast wordt ook de laatste bijwerkdatum getoond. Het saldo wordt bijgewerkt ná het opladen maar natuurlijk ook ná in/uitchecken.

Het enige waar de website om vraagt is het kaartnummer, verder niets. Een kaartnummer van iemand is relatief eenvoudig te achterhalen want iedereen zwaait met z’n kaart in het rond bij stations. Een hoog-resolutie filmpje daarvan is zo gemaakt en zo zijn kaartnummers relatief eenvoudig te achterhalen. Daarbij wordt er nog wel eens een verloren ov-chipkaart ‘gedeeld’ op Facebook.

Wat is nu het probleem? Door op regelmatige momenten het saldo en de laatste bijwerkdatum op te vragen, is het mogelijk om een tijdlijn te construeren van iemand z’n ov-gebruik. Zo’n tijdlijn laat zien wanneer iemand gebruik heeft gemaakt van het ov en wanneer z’n saldo is opgeladen. Is iemand vandaag met de auto weg? Even checken of z’n saldo tussen vanochtend en vanmiddag is gewijzigd. En zo zijn er wel meer aannames te onderbouwen met behulp van deze informatie.

Het bleek ook mogelijk te zijn om de geboortedatum van de ov-chipkaarthouder te achterhalen met alleen het kaartnummer. Dit is te doen door iets in de webshop van de NS te plaatsen en vervolgens een kaartnummer in te voeren. De website toont dan de geboortedatum van de houder.

De NS heeft op 19-12-2017 die functionaliteit verwijderd n.a.v. de commotie op Twitter.

De vraag is nu of dit een datalek betreft. Ik zelf twijfelde daar aan maar Arnoud Engelfriet van ICTRecht is er zeer duidelijk in en zegt dat dit wel zeker een datalek is. Zie zijn blog https://blog.iusmentis.com/2017/12/19/duh-natuurlijk-is-iemands-ov-saldo-kunnen-zien-datalek/ en onderstaande tweet:

 

 

 

 

Een groot privacyprobleem? Dat valt hopelijk mee maar gezien de reacties op deze tweet stuit de eenvoudige toegang tot deze gegevens op genoeg weerstand, ook vanuit juridische hoek. Translink – het bedrijf achter de ov-chipkaart – ziet het als een feature.

Er zijn n.a.v. bovenstaande wel wat meldingen bij de AP op gang gekomen. Ik ben benieuwd hoe de AP ertegenaan kijkt.

Wordt vervolgd!