OV Pay vrij gemakkelijk te kraken

  • 14 April 2023
  • 70 reacties
  • 5469 Bekeken

Reputatie 7
Badge +1

Zojuist op RTLZ een topic dat OV-pay dus vrij gemakkelijk is te omzeilen en gratis te reizen. Ik vraag mij zo langzamerhand toch af hoe kan dit nu weer. Er zijn al zoveel dingen fout gegaan de afgelopen jaren. Ik noem als voorbeelden het groepsticket, de E-tickets en het jongerenkaartje. Ik zag in een reactie van Sander dat hieraan eindelijk gewerkt wordt. Maar nu blijkt dus het nieuwe systeem OV-Pay dus ook weer compleet lek te zijn. Dit kan je je betalende klanten gewoon niet verkopen. 

Hoe is het mogelijk dat dit toch zo is ingevoerd en dus wederom weer niet goed getest is?

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5376425/gratis-openbaar-vervoer-reizen-fout-ovpay


70 reacties

Ik heb overigens uit de documentatie van MIVB/STIB opgemaakt alleen prepaidkaarten gecheckt worden of er wel €7,50 opstaat, het equivalent van een dagkaart in Brussel. In Vlaanderen is het nog simpeler. Daar wordt meteen €2,50 gereserveerd. 

Die poortjes in Brussel zijn waarschijnlijk niet veel slimmer of dommer dan de poortjes in Nederland. Het grote verschil met NS is natuurlijk dat de maximumbedragen per dag veel lager zijn.

Heb het recent bij STIB moeten gebruiken omdat mijn Mobib-kaart kapot was. Een incheckactie met Mastercard duurde een seconde of 5, domweg omdat er direct een transactie wordt gedaan net als bij een normale betaalterminal. Zodra de terminal (was in een bus) groen kleurde en ik mocht doorlopen, kwam de pushnotificatie van m’n kaartaanbieder dat er 7,50 was geincasseerd.

 

Dat maakt het leven ook een stuk makkelijker, want daarmee is dus direct afgerekend. STIB claimt 7,50 (maximum dagtarief) en corrigeert aan het einde van de dag. DeLijn rekent een uurskaartje aan. Geen gedoe met pas bij uitchecken de correcte prijs kunnen bepalen.

 

TLS stoot zich tweemaal aan dezelfde steen en besluit opnieuw om geen zaken live te regelen, maar achteraf, als het kwaad al is gedaan.

Och dan kwamen ze uit Utrecht en werkten in Alkmaar, kan ook. Het was Utrecht CS-Alkmaar waar het om ging alleszins.

 

Het is precies dezelfde discussie als in 2011, als dit op grotere schaal misbruikt gaat worden, dan valt het niet aan te pakken. Voor twee gasten (!!!) is al zo enorm veel opsporingscapaciteit aan het werk geweest, dat het eigen van de zotte is. En dan is wat deze heren hebben gedaan nog relatief lastig voor iemand zonder technische achtergrond.

Reputatie 7

Och dan kwamen ze uit Utrecht en werkten in Alkmaar, kan ook. Het was Utrecht CS-Alkmaar waar het om ging alleszins.

 

Het is precies dezelfde discussie als in 2011, als dit op grotere schaal misbruikt gaat worden, dan valt het niet aan te pakken. Voor twee gasten (!!!) is al zo enorm veel opsporingscapaciteit aan het werk geweest, dat het eigen van de zotte is. En dan is wat deze heren hebben gedaan nog relatief lastig voor iemand zonder technische achtergrond.

Jupp terwijl het OVPay systeem veel makkelijker te kraken valt op deze manier.. Het is echt bizar. Hopen dat hier toch snel actie tegen komt.

Jupp terwijl het OVPay systeem veel makkelijker te kraken valt op deze manier.. Het is echt bizar. Hopen dat hier toch snel actie tegen komt.

Misschien gaat het in de praktijk meevallen en is de kost van deze fraude accepteren lager dan het daadwerkelijk oplossen, maar anno 2023 is het eigenlijk idioot. Er is alle ruimte geweest om, t.b.v. OVpay en verdere ontwikkelingen, serieuze stappen te zetten om gaten te dichten. En met de beschikbaarheid van communicatielijnen tegenwoordig ook prima te realiseren. Maar wat verzint men, we gaan opnieuw verwerkingen pas naderhand doen en vertrouwen in eerste instantie op wat de gebruiker aanbiedt.

Reputatie 7

Jupp terwijl het OVPay systeem veel makkelijker te kraken valt op deze manier.. Het is echt bizar. Hopen dat hier toch snel actie tegen komt.

Misschien gaat het in de praktijk meevallen en is de kost van deze fraude accepteren lager dan het daadwerkelijk oplossen, maar anno 2023 is het eigenlijk idioot. Er is alle ruimte geweest om, t.b.v. OVpay en verdere ontwikkelingen, serieuze stappen te zetten om gaten te dichten. En met de beschikbaarheid van communicatielijnen tegenwoordig ook prima te realiseren. Maar wat verzint men, we gaan opnieuw verwerkingen pas naderhand doen en vertrouwen in eerste instantie op wat de gebruiker aanbiedt.

In de whatsappgroepen van de jongerendagkaarten staan al hele instructies om van deze manier gebruik te maken. Dit gaat op grote schaal spelen ben ik bang..

Ik durf dat niet hardop te zeggen, 10 jaar terug was dat ook mijn idee, en uiteindelijk is dat relatief meegevallen, voor zover bekend. Maar het is zeker een risico wat nu op de loer ligt. Ook de jongeren zijn er niet onhandiger op geworden sinds ze geboren worden met een GSM in de handen.

Badge +3

Hoe zit dat nou eigenlijk met die Jongeren Dagkaart Dal fraude?

Dat zijn toch gewoon QR codes die gedeeld worden? En die staan op naam…

Wat dat betreft is het al voldoende om de app-import link (uw persoonlijke pagina, zoals je krijgt voor elk e-ticket) te beperken. Na één (of hooguit een paar) clicks is het einde verhaal, ticket is dan al opgehaald.

En bovendien een Jongeren Dagkaart nooit als homeprint toestaan (zoals ook op de pagina daarover staat ‘exclusief via de NS-app’).

Dat ik die buttons zie op een pc komt door mijn ad/scriptblocker

 

Reputatie 6

Maar wat verzint men, we gaan opnieuw verwerkingen pas naderhand doen en vertrouwen in eerste instantie op wat de gebruiker aanbiedt.

Ik denk dat het niet anders kan. Je voorbeeld bij het inchecken bij de metro in Brussel bevestigt dat al. Vooraf valideren van een (internationale) debitcard (bankkaart) duurt zomaar vier-vijf seconden. Realiseer je wat dat zou betekenen voor de halteringstijd van bus en tram, die bovendien geen vaste internetverbinding hebben. Ik denk niet dat er bij de MIVB-bus/tram vooraf wordt gevalideerd; zou dat in de Overdekte Straat bij het Zuidstation altijd probleemloos werken? Bij de metro in Londen gebeurt het valideren bij het inchecken zelf volgens mij overigens ook niet.

Ik vind het al moeizaam dat in de Nederlandse situatie de verwerkingstijd bij het inchecken in bus en tram zowat verviervoudigd is (van minder dan een kwart seconde tot een seconde), omdat moet worden gecheckt welk betaalmiddel er wordt aangeboden. Validering vindt volgens mij ook dan niet plaats.

Geen betaalsysteem is onkraakbaar. Het blijft een afweging van de inzet van middelen en de schade die je oploopt. Afgezien van blacklisten van een kaart achteraf kun je bij het inchecken niet veel controleren,.Als het echt uit de hand loopt, moet je virtuele bankkaarten blokkeren. Maar veel effectiever tegen inkomstenverlies lijkt me controleren in bij misbruik van de poortjes en het (weer) controleren in de trein.

Ik denk niet dat er bij de MIVB-bus/tram vooraf wordt gevalideerd;

Was in een bus. Komisch genoeg onderweg naar een event waar we spraken over… data (exchange) in de spoorwereld.

 

Imo zou je prima een reservatie op de achtergrond kunnen regelen, dan kan je al bij het uitchecken blokkeren. Of op zijn minst bij controle. Instaptarief is niet vreemd, doen we nu met de OVCP immers ook.

 

Werkbezoekje aan TfL is het overwegen waard, is alleszins goedkoper dan het zoveelste Japan-reisje. Kan prima met de Eurostar.

Reputatie 6

Ik denk niet dat er bij de MIVB-bus/tram vooraf wordt gevalideerd;

Was in een bus.

 

Imo zou je prima een reservatie op de achtergrond kunnen regelen, dan kan je al bij het uitchecken blokkeren. Of op zijn minst bij controle.

Inderdaad, reserveren kan. Maar het helpt niet. Als je na het inchecken een reservering doet op een geldige kaart, zou het geld toch wel zijn binnengekomen; als je een reservering doet op een ongeldige (verlopen/geblokkeerde) kaart doet, krijg je het geld niet. Voor een reservering op een opgeheven virtuele kaart moet je naar Litouwen. Bij mislukt uitchecken op bus of tram houd je niemand tegen, bij een poortje en een bewust frauderende reiziger evenmin. Het is controleren of je verlies accepteren. Maar dat geldt ook al bij “gewoon” zwart- en grijsrijden.

Reputatie 1

 

In de whatsappgroepen van de jongerendagkaarten staan al hele instructies om van deze manier gebruik te maken. Dit gaat op grote schaal spelen ben ik bang..

 

Dat is precies het probleem met publieke aandacht voor deze “loophole” - grote kans dat dit probleem al wel bekende was bij de OVPay organisatie. Ik heb in mijn werk ook regelmatig te maken met z.g.n. ‘pentesten’ en aan de bevindingen wordt over het algemeen een score gegeven aan de hand van het mogelijk risico. 

Op het moment dat het risico zeer klein is, zit het een live gang niet erg in de weg. Echter dat wordt heel anders zoals nu er publieke aandacht aan geschonken wordt. Ergens prima op het gebied van veiligheid, maar ergens zet je de organisatie OVPay / TLS en de vervoerders nu wel voor een voldongen feit, je weet gewoon dat het misbruik gigantisch gaat toenemen. Zeker omdat het met Revolut (weet ik uit eigen ervaring) zeer eenvoudig om tot 5 virtuele kaarten aan te maken, binnen enkele minuten. 

Waar het misbruik van jongeren dagkaart inmiddels door strengere controle wellicht grotendeels uitgebannen is, hebben ze hier weer een nieuwe mogelijkheid tot ‘gratis’ reizen, en de pakkans is nihil, want je hebt immers een geldige transactie op je “virtuele” kaart staan. Net zo goed de NS op dat moment eigenlijk de verkoop van de dagkaart tijdelijk had moeten staken, omdat er inmiddels ook personeel bedreigd werd na ontdekking. 

OVPay kan eigenlijk op dit moment niet anders meer dan (tijdelijk) Revolut en andere buitenlandse banken met een dergelijk concept per direct uitsluiten van OVPay tot ze realtime reservering op de rekening kunnen zetten. 

Helaas voor de kleine groep reizigers die Revolut legitiem gebruiken op dit moment, maar die kunnen altijd nog een kaartje uit de automaat trekken of online kopen. De kosten zijn immers gelijk. 

Het risico dat dit volledig uit de klauwen loopt is gewoon een zekerheidje, je kan beter NU ingrijpen dan niets doen, want OVPay is wel de richting waar we heen moeten, omdat de OVChip kaart eigenlijk eindig is. 

Reputatie 2

Er wordt overigens ook veel met kaarten gereisd die door kaarthouders bij hun banken geblokkeerd zijn na verlies en nergens meer werken. Die werken bij ovpay echter nog wel een keer en veel vinders maken daar gebruik van. Waar ovpay dat geld uiteindelijk op wil gaan halen is me volledig onduidelijk. Je kunt niet bij de bank of kaarthouder aankloppen

Er wordt overigens ook veel met kaarten gereisd die door kaarthouders bij hun banken geblokkeerd zijn na verlies en nergens meer werken. Die werken bij ovpay echter nog wel een keer en veel vinders maken daar gebruik van. Waar ovpay dat geld uiteindelijk op wil gaan halen is me volledig onduidelijk. Je kunt niet bij de bank of kaarthouder aankloppen

Kaarten die geblokkeerd zijn komen binnen 24 uur op de lijst van geblokkeerde kaarten te staan en worden (als het goed is) dan niet meer geaccepteerd. Alleen de eerste 24 uur zou de (on)eerlijke vinder er dus nog op kunnen reizen. Dat probleem lijkt me te overzien, zoveel kaarten worden er nou ook weer niet verloren of gestolen. In het uiterste geval zou je nog kunnen overwegen de lijst van geblokkeerde passen om de paar uur te verversen.

Ik denk niet dat er bij de MIVB-bus/tram vooraf wordt gevalideerd;

Was in een bus.

 

Imo zou je prima een reservatie op de achtergrond kunnen regelen, dan kan je al bij het uitchecken blokkeren. Of op zijn minst bij controle.

Inderdaad, reserveren kan. Maar het helpt niet. Als je na het inchecken een reservering doet op een geldige kaart, zou het geld toch wel zijn binnengekomen; als je een reservering doet op een ongeldige (verlopen/geblokkeerde) kaart doet, krijg je het geld niet. Voor een reservering op een opgeheven virtuele kaart moet je naar Litouwen. Bij mislukt uitchecken op bus of tram houd je niemand tegen, bij een poortje en een bewust frauderende reiziger evenmin. Het is controleren of je verlies accepteren. Maar dat geldt ook al bij “gewoon” zwart- en grijsrijden.

Als enkele seconden na inchecken blijkt dat die reservering niet is geslaagd, kan je bij controle dat nog oplossen. Dat zal het gros van de tijd in de trein zijn, en dat is mooi, want daar is het verlies veelal ook het hoogst. 

Badge +3

Kaarten die geblokkeerd zijn komen binnen 24 uur op de lijst van geblokkeerde kaarten te staan en worden (als het goed is) dan niet meer geaccepteerd. Alleen de eerste 24 uur zou de (on)eerlijke vinder er dus nog op kunnen reizen. Dat probleem lijkt me te overzien, zoveel kaarten worden er nou ook weer niet verloren of gestolen. In het uiterste geval zou je nog kunnen overwegen de lijst van geblokkeerde passen om de paar uur te verversen.

Die 24 uur geldt voor ov-chipkaarten. De blacklist voor bankpassen wordt elke paar minuten geüpdatet, maar dat geldt schijnbaar niet voor buitenlandse kaarten.

Met een al lang verlopen Spaanse Visa/Mastercard kon iemand blijkbaar gewoon inchecken, en controle in de trein was ook geen probleem (er is een incheck bekend dus het zal wel kloppen). Uitchecken was wel een probleem, dus die verificatie vindt wel degelijk plaats.

Met een virtuele kaart kan je dus gewoon een dagje reizen en hem daarna opheffen, want een incasso zou toch pas de volgende dag plaatsvinden. In feite zou je zelfs een binnenlandse rekening daarvoor kunnen ‘slachtofferen’.

Jupp terwijl het OVPay systeem veel makkelijker te kraken valt op deze manier.. Het is echt bizar. Hopen dat hier toch snel actie tegen komt.

Misschien gaat het in de praktijk meevallen en is de kost van deze fraude accepteren lager dan het daadwerkelijk oplossen, maar anno 2023 is het eigenlijk idioot. Er is alle ruimte geweest om, t.b.v. OVpay en verdere ontwikkelingen, serieuze stappen te zetten om gaten te dichten. En met de beschikbaarheid van communicatielijnen tegenwoordig ook prima te realiseren. Maar wat verzint men, we gaan opnieuw verwerkingen pas naderhand doen en vertrouwen in eerste instantie op wat de gebruiker aanbiedt.

In de whatsappgroepen van de jongerendagkaarten staan al hele instructies om van deze manier gebruik te maken. Dit gaat op grote schaal spelen ben ik bang..

 

Zal het? Je kunt tegenwoordig ook makkelijk gratis boodschappen doen en eten zonder te betalen in restaurants is al veel langer mogelijk. Ik denk dat een fraudeur sowieso eens tegen de lamp loopt en daar zit je dan met je strafblad...

 

Met een al lang verlopen Spaanse Visa/Mastercard kon iemand blijkbaar gewoon inchecken, en controle in de trein was ook geen probleem (er is een incheck aanwezig). Uitchecken was wel een probleem, dus die verificatie vindt wel degelijk plaats.

Verlopen kaarten lijkt me stug want de einddatum van een kaart staat in de kaart zelf dus daar is geen check bij de bank voor nodig. Geblokkeerde kaarten is natuurlijk een ander verhaal.

Badge +3

Verlopen kaarten lijkt me stug want de einddatum van een kaart staat in de kaart zelf dus daar is geen check bij de bank voor nodig. Geblokkeerde kaarten is natuurlijk een ander verhaal.

Zou ook kunnen (geblokkeerd of rekening bestond al lang niet meer). Het kwam er ergens voorbij in het lange topic over reizen met een ‘bankpas’.

Reputatie 5

 

Slechts het topje van de ijsberg verder, want er wordt ook nog op andere, vergelijkbare manieren gefraudeerd. Een kaart verwijderen/vernietigen is niet eens nodig. Zonder borg zal dit systeem altijd te fraudegevoelig blijven, daarom wordt er in België bij De Lijn en MIVB wel het maximale bedrag dat je kunt uitgeven aan reizen op een dag van je rekening geboekt.

Even een kleine bump voor dit topic, want je hebt helemaal gelijk gehad @pjans .

Inmiddels is Ovpay inderdaad overgestapt op een systeem met borg. Benieuwd wat het totaalbedrag is aan onbetaalde reizen, alleen bij Revolut is dit bijvoorbeeld al een vermogen.

Er zijn n.a.v. onderzoek door RTL eerder dit jaar kamervragen gesteld. Het antwoord was dat er rekening was gehouden met fraude, het systeem goed ontworpen was en de schade eenvoudig op de daders verhaald kon worden. Onzin, want het systeem is daarna meerdere keren overhoop gegooid totdat men is overgeschakeld op een systeem dat hetzelfde is als bij de OV-chipkaart en vergelijkbaar met andere landen (met BORG). 

 

Misschien gaat het in de praktijk meevallen 

Nee @Henk_NL 

Het is niet meegevallen. Na meerdere noodoplossingen en miljoenen euro's schade is men overgestapt op een systeem waar men bijvoorbeeld in België direct al voor gekozen had, namelijk met borg. Ik ben benieuwd of er ooit een systeem in Duitsland of België ontworpen wordt waarbij wij als Nederlanders ruim een half jaar kunnen reizen zonder te betalen 🙄 (ik denk dat we allemaal het antwoord wel weten.) 

 

 

Misschien alleen plastic passen accepteren

Dat was een goed idee. Dat heeft OVpay geprobeerd en dat heeft gedeeltelijk geholpen, maar ook met plastic passen kan zonder borg natuurlijk eindeloos gefraudeerd worden. Een nieuwe plastic pas is nog steeds een stuk goedkoper (soms zelfs gratis) dan een dag gebruikmaken van het OV in Nederland of zelfs een enkele reis.

Natuurlijk ging dit niet meevallen. De mensen die me hier een beetje kennen weten ook dat ik erg sceptisch naar TransLink en haar uitvoer kijk. Maar gelijktijdig ben ik in 12+ jaar in de OV-branch te vaak voor pessimist uitgemaakt. Ook op dit forum moet altijd mooi weer worden gespeeld. Derhalve schrijf ik steeds iets genuanceerder, zodat me dat alleszins niet verweten kan worden. 
 

Het is wéér een aan elkaar geplakt project aan het worden. 
 

Inmiddels doe ik totaal ander werk. Treinkaart is beëindigd en de salariswagen staat op de oprit. Wens ze veel succes en hopelijk komt alles goed. OV is een belangrijke maatschappelijke dienst. 

Reageer