OV Pay vrij gemakkelijk te kraken

  • 14 April 2023
  • 70 reacties
  • 5433 Bekeken

Reputatie 7
Badge +1

Zojuist op RTLZ een topic dat OV-pay dus vrij gemakkelijk is te omzeilen en gratis te reizen. Ik vraag mij zo langzamerhand toch af hoe kan dit nu weer. Er zijn al zoveel dingen fout gegaan de afgelopen jaren. Ik noem als voorbeelden het groepsticket, de E-tickets en het jongerenkaartje. Ik zag in een reactie van Sander dat hieraan eindelijk gewerkt wordt. Maar nu blijkt dus het nieuwe systeem OV-Pay dus ook weer compleet lek te zijn. Dit kan je je betalende klanten gewoon niet verkopen. 

Hoe is het mogelijk dat dit toch zo is ingevoerd en dus wederom weer niet goed getest is?

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5376425/gratis-openbaar-vervoer-reizen-fout-ovpay


70 reacties

Reputatie 7

Zojuist op RTLZ een topic dat OV-pay dus vrij gemakkelijk is te omzeilen en gratis te reizen. Ik vraag mij zo langzamerhand toch af hoe kan dit nu weer. Er zijn al zoveel dingen fout gegaan de afgelopen jaren. Ik noem als voorbeelden het groepsticket, de E-tickets en het jongerenkaarttje. Ik zag in een reactie van Sander dat hieraan eindelijk gewerkt wordt. Maar nu blijkt dus het nieuwe systeem OV-Pay dus ook weer compleet lek te zijn. Dit kan je je betalende klanten gewoon niet verkopen. 

Hoe is het mogelijk dat dit toch zio is ingevoerd en dus wederom weer niet goed getest is?

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5376425/gratis-openbaar-vervoer-reizen-fout-ovpay

Ik zat het net vol met verbazing te lezen. Wat slordig weer dit..

Reputatie 7
Badge +1

Toch handig dat men in het artikel dan alvast aangeeft er niets aan te gaan doen:

Jaar 2032:

Dus treinreizen wordt weer mensenwerk!? Meer controle door mensen? Komt er binnenkort gewoon weer een HC langs? Minder IT in het OV?

Jaar 2033: 

Hallo? 

 

Reputatie 2

"RTL Nieuws heeft besloten om de naam van de gebruikte app niet te noemen."

de naam van de 'app' (het is een bank) is wel duidelijk zichtbaar in het filmpje

Toch benieuwd hoe de Betaalvereniging en TransLink deze mensen aan willen gaan pakken, want ze hebben niets behalve nummers van door een Litouwse bank uitgegeven kaarten en dan ook nog eens tokenized

Slechts het topje van de ijsberg verder, want er wordt ook nog op andere, vergelijkbare manieren gefraudeerd. Een kaart verwijderen/vernietigen is niet eens nodig. Zonder borg zal dit systeem altijd te fraudegevoelig blijven, daarom wordt er in België bij De Lijn en MIVB wel het maximale bedrag dat je kunt uitgeven aan reizen op een dag van je rekening geboekt.

Als je zonder borg wilt blijven werken is de enige gedeeltelijke oplossing in- en uitchecken met Google Wallet en Apple Pay af te schaffen 

Jaar 2032:

Dus treinreizen wordt weer mensenwerk!? Meer controle door mensen? Komt er binnenkort gewoon weer een HC langs? Minder IT in het OV?

Jaar 2033: 

Hallo? 

 

Als het OV weer mensenwerk moet worden zal het snel verdwijnen. Door de vergrijzing zijn er steeds minder werkenden die in hoog tempo onbetaalbaar worden. Zonder meer efficiëncy heeft het OV geen toekomst meer.

Het tariefsysteem moet flink vereenvoudigd worden en de fraudegevoelige zaken dienen er uit verwijderd te worden. 

Overigens is de fraude met OV-pay bij controle niet te zien. 

Badge +3

In tegenstelling tot bijv. tankstations (of hotels of autohuur) wordt er bij OVpay geen reservering gemaakt voor een bepaald bedrag, maar is een ‘geldige’ pas voldoende.

Bij tanken gaat het dan om een reservering van ik meen €150 Geeft de bank een lagere limiet dan slaat de pomp af zodra dat bedrag bereikt is.

Een reservering maken kost wat tijd en die hebben paaltjes en poortjes niet. Ze hebben wel een blacklist dus een volgende dag reizen op dezelfde pas gaat niet lukken, als er iets niet klopt.

Probleem is natuurlijk dat je bij bepaalde banken oneindig veel ‘virtuele passen’ kunt aanmaken, en daar dus niet eens saldo op hoeft te hebben. Dit viel te verwachten.

Een reservering maken kost wat tijd en die hebben paaltjes en poortjes niet. Ze hebben wel een blacklist dus een tweede volgende dag reizen op dezelfde pas gaat niet lukken.

Misschien alleen plastic passen accepteren.

Badge +3

Om zo’n virtuele pas aan te maken (zie het filmpje in het RTL-Z artikel) wordt wel je identiteit geverifieerd, dus als TLS/OVpay je wil opsporen is dat mogelijk.

Bij mij zouden ze dan in Litouwen moeten zijn (Revolut rekening).

Om zo’n virtuele pas aan te maken (zie het filmpje in het RTL-Z artikel) wordt wel je identiteit geverifieerd, dus als TLS/OVpay je wil opsporen is dat mogelijk.

Bij mij zouden ze dan in Litouwen moeten zijn (Revolut rekening).

De vraag is wat die verificatie door een sowieso als zeer obscuur te boek staande bank waard is.

Badge +3

Misschien alleen plastic passen accepteren.

Volgens mij lost dat niets op, de achterliggende rekening (of rekening zonder saldo en geen toestemming voor rood staan) kan je ook blokkeren, want OVpay incasseert pas per de volgende dag.

Een reservering maken kost wat tijd en die hebben paaltjes en poortjes niet. Ze hebben wel een blacklist dus een tweede volgende dag reizen op dezelfde pas gaat niet lukken.

Misschien alleen plastic passen accepteren.

Om zo’n virtuele pas aan te maken (zie het filmpje in het RTL-Z artikel) wordt wel je identiteit geveriferieerd, dus als TLS je wil opsporen is dat mogelijk.

Ik heb een OV kaart. Dat lijkt mij voldoende. Ik hoef het product niet op een bankpas. 

Kan een moderator even reageren?

https://www.bnr.nl/podcast/bnr-mobility/10463795/waarom-2022-het-jaar-van-ovpay-wordt

Reputatie 2

 Ze hebben wel een blacklist dus een volgende dag reizen op dezelfde pas gaat niet lukken

oV pay kan kaarten die gebruikt worden i.c.m.  smartphone/watch niet blacklisten, omdat ze niet beschikt over de originele kaartgegevens. Google bijvoorbeeld geeft je kaart een ander kaartnummer om zo je gegevens te beschermen en communiceert bij betalen alleen de 'nieuwe' gegevens, een nieuwe token creëren voor dezelfde kaart is voor ov pay een volledig nieuwe kaart. Dit is dus ook heel makkelijk te omzeilen 

dit is trouwens niet wat ze in het filmpje doen, daar vernietigen ze de originele kaart(gegevens)

@Robert B die verslaggever heeft ter plekke een revolut account geopend en zijn account was op dat moment nog niet geverifieerd. Het gaat dus om identificatie voor jou naar Revolut toe. Als jij ergens, bijvoorbeeld bij ov pay betaalt, dan hebben zij daarna alleen een kaartnummer (en vervaldatum) maar verder geen identiteitsgegevens 

Misschien alleen plastic passen accepteren.

Volgens mij lost dat niets op, de achterliggende rekening (of rekening zonder saldo en geen toestemming voor rood staan) kan je ook blokkeren, want OVpay incasseert pas per de volgende dag.

Ja, maar je eigen rekening blokkeren is natuurlijk toch wat onhandig. 

Badge +3

Als die ‘kaart’ door Google aangemaakt is zal TLS/OVpay (wij hebben geld tegoed van Token x!) dus via Google moeten achterhalen wie jij bent.

Aan elke Google Pay of Apple Pay account hangt toch echt een geverifieerde persoon (met achterliggende rekening, en dat zal natuurlijk ook gewoon een ING/RABO/ABNA rekening of VISA/MasterCard creditcard zijn).

Google en Apple e.d. doen zelf niet aan bankieren, toch? Hooguit wat pre-paid store tegoed.

En wat voor een reactie wil je precies hebben?

Badge +3

Ja, maar je eigen rekening blokkeren is natuurlijk toch wat onhandig. 

Ik bedoelde dat je met een plastic pas ook gewoon een incasso (per volgende dag) kunt tegenhouden. Die plastic pas wordt dan geblokkeerd voor gebruik in het ov. Onhandig, maar het kan...

Reputatie 2

Als die ‘kaart’ door Google aangemaakt is zal TLS/OVpay (wij hebben geld tegoed van Token x!) dus via Google moeten achterhalen wie jij bent.

Aan elke Google Pay of Apple Pay account hangt toch echt een geverifieerde persoon (met achterliggende rekening, en dat zal natuurlijk ook gewoon een ING/RABO/ABNA rekening of VISA/MasterCard creditcard zijn.

Google en Apple e.d. doen zelf niet aan bankieren, toch? Hooguit wat pre-paid store tegoed.

Ik kan me niet voorstellen dat ze in de VS en Litouwen en weet ik veel waar zich aan gaan passen aan het Nederlandse ov pay systeem. Die fraude via bijvoorbeeld virtuele Revolut kaarten vindt al plaats sinds de introductie en het is nog steeds probleemloos mogelijk . Bij Revolut is er nog geen euro teruggehaald en de Betaalvereniging heeft in Litouwen niets te vertellen 

ik denk toch echt dat je je systeem aan zult moeten passen aan de rest van de wereld i.p.v. het omgekeerde te verwachten. Ik ken behalve ov pay niet 1 andere dienst op deze hele planeet waar je 'gratis' gebruik van kunt maken door je kaart te verwijderen na een transactie/inchecken 

@Stijn NS Een persbericht zou tof zijn, maar een leuk artikel in het sticky topic van @Erryt NS is ook prima. 😉

 

Badge +3

ik denk toch echt dat je je systeem aan zult moeten passen aan de rest van de wereld i.p.v. het omgekeerde te verwachten 

Het RTL-Z artikel suggereert dat men bij TLS dan gewoon die hele bank kan uitsluiten van OVpay.

Lijkt me voor banken die niet (willen) meewerken aan opsporingsverzoeken een prima idee, alhoewel pech voor de goedwillende reiziger.

Dus je verwacht dat wij als NS een artikel gaan plaatsen waarin we aangeven dat er eenvoudige fraudemogelijkheden zijn bij het OVPay systeem?

Ik hoop dat je begrijpt dat dit niet gaat gebeuren.

Reputatie 2

ik denk toch echt dat je je systeem aan zult moeten passen aan de rest van de wereld i.p.v. het omgekeerde te verwachten 

Het RTL-Z artikel suggereert dat men bij TLS dan gewoon die hele bank kan uitsluiten van OVpay.

Dat las ik ook ja. Ik denk eigenlijk dat dit alleen voor Nederlandse banken/kaarten geldt (in samenwerking met de Betaalvereniging) en niet voor zoiets virtuele visa's en mastercards van bijvoorbeeld Revolut. Maar goed, ik kan er hier naast zitten

Dus je verwacht dat wij als NS een artikel gaan plaatsen waarin we aangeven dat er eenvoudige fraudemogelijkheden zijn bij het OVPay systeem?

Ik hoop dat je begrijpt dat dit niet gaat gebeuren.

Rustig @Stijn NS ..rustig Stijn …. pffffff..rustig… 😬

Ik ga morgen met de trein van Amsterdam naar Utrecht oké? Misschien controle? geen idee. Maar dat OVpay is toch echt wel een product waar jullie wat duidelijker mee om moeten gaan. En zoiets moet je van te voren bedenken. De meeste reizigers willen van A naar B. Zo goed en voordelig mogelijk. 🤔🔮

OVPay is een systeem ingevoerd door de OV-Chipkaart. Uiteraard hebben we daar als NS belangen in, maar dit is aan hen om op te pakken.

OVPay is een systeem ingevoerd door de OV-Chipkaart. Uiteraard hebben we daar als NS belangen in, maar dit is aan hen om op te pakken.

En daar heb je dus deze community voor. Wij denken ook aan de belangen van de NS. 💋

 

(Maar wie van de NS leest deze topics en doet er iets mee.... ja, dat is een goede vraag 😯...)

OVPay is een systeem ingevoerd door de OV-Chipkaart. Uiteraard hebben we daar als NS belangen in, maar dit is aan hen om op te pakken.

Ik kan me voorstellen dat NS als klant van OV-chipkaart daar toch wel iets van vindt. Of krijgt NS in dergelijke gevallen gewoon zijn geld en neemt OV-chipkaart de schade voor zijn rekening?

Reageer