OV Pay vrij gemakkelijk te kraken

Heb het recent bij STIB moeten gebruiken omdat mijn Mobib-kaart kapot was. Een incheckactie met Mastercard duurde een seconde of 5, domweg omdat er direct een transactie wordt gedaan net als bij een normale betaalterminal. Zodra de terminal (was in een bus) groen kleurde en ik mocht doorlopen, kwam de pushnotificatie van m’n kaartaanbieder dat er 7,50 was geincasseerd.

Dat maakt het leven ook een stuk makkelijker, want daarmee is dus direct afgerekend. STIB claimt 7,50 (maximum dagtarief) en corrigeert aan het einde van de dag. DeLijn rekent een uurskaartje aan. Geen gedoe met pas bij uitchecken de correcte prijs kunnen bepalen.

TLS stoot zich tweemaal aan dezelfde steen en besluit opnieuw om geen zaken live te regelen, maar achteraf, als het kwaad al is gedaan.

Jupp terwijl het OVPay systeem veel makkelijker te kraken valt op deze manier.. Het is echt bizar. Hopen dat hier toch snel actie tegen komt.

In de whatsappgroepen van de jongerendagkaarten staan al hele instructies om van deze manier gebruik te maken. Dit gaat op grote schaal spelen ben ik bang..

Hoe zit dat nou eigenlijk met die Jongeren Dagkaart Dal fraude?

Dat zijn toch gewoon QR codes die gedeeld worden? En die staan op naam…

Wat dat betreft is het al voldoende om de app-import link (uw persoonlijke pagina, zoals je krijgt voor elk e-ticket) te beperken. Na één (of hooguit een paar) clicks is het einde verhaal, ticket is dan al opgehaald.

En bovendien een Jongeren Dagkaart nooit als homeprint toestaan (zoals ook op de pagina daarover staat ‘exclusief via de NS-app’).

Was in een bus. Komisch genoeg onderweg naar een event waar we spraken over… data (exchange) in de spoorwereld.

Imo zou je prima een reservatie op de achtergrond kunnen regelen, dan kan je al bij het uitchecken blokkeren. Of op zijn minst bij controle. Instaptarief is niet vreemd, doen we nu met de OVCP immers ook.

Werkbezoekje aan TfL is het overwegen waard, is alleszins goedkoper dan het zoveelste Japan-reisje. Kan prima met de Eurostar.

Dat is precies het probleem met publieke aandacht voor deze “loophole” - grote kans dat dit probleem al wel bekende was bij de OVPay organisatie. Ik heb in mijn werk ook regelmatig te maken met z.g.n. ‘pentesten’ en aan de bevindingen wordt over het algemeen een score gegeven aan de hand van het mogelijk risico. 

Op het moment dat het risico zeer klein is, zit het een live gang niet erg in de weg. Echter dat wordt heel anders zoals nu er publieke aandacht aan geschonken wordt. Ergens prima op het gebied van veiligheid, maar ergens zet je de organisatie OVPay / TLS en de vervoerders nu wel voor een voldongen feit, je weet gewoon dat het misbruik gigantisch gaat toenemen. Zeker omdat het met Revolut (weet ik uit eigen ervaring) zeer eenvoudig om tot 5 virtuele kaarten aan te maken, binnen enkele minuten. 

Waar het misbruik van jongeren dagkaart inmiddels door strengere controle wellicht grotendeels uitgebannen is, hebben ze hier weer een nieuwe mogelijkheid tot ‘gratis’ reizen, en de pakkans is nihil, want je hebt immers een geldige transactie op je “virtuele” kaart staan. Net zo goed de NS op dat moment eigenlijk de verkoop van de dagkaart tijdelijk had moeten staken, omdat er inmiddels ook personeel bedreigd werd na ontdekking. 

OVPay kan eigenlijk op dit moment niet anders meer dan (tijdelijk) Revolut en andere buitenlandse banken met een dergelijk concept per direct uitsluiten van OVPay tot ze realtime reservering op de rekening kunnen zetten. 

Helaas voor de kleine groep reizigers die Revolut legitiem gebruiken op dit moment, maar die kunnen altijd nog een kaartje uit de automaat trekken of online kopen. De kosten zijn immers gelijk. 

Het risico dat dit volledig uit de klauwen loopt is gewoon een zekerheidje, je kan beter NU ingrijpen dan niets doen, want OVPay is wel de richting waar we heen moeten, omdat de OVChip kaart eigenlijk eindig is. 

Kaarten die geblokkeerd zijn komen binnen 24 uur op de lijst van geblokkeerde kaarten te staan en worden (als het goed is) dan niet meer geaccepteerd. Alleen de eerste 24 uur zou de (on)eerlijke vinder er dus nog op kunnen reizen. Dat probleem lijkt me te overzien, zoveel kaarten worden er nou ook weer niet verloren of gestolen. In het uiterste geval zou je nog kunnen overwegen de lijst van geblokkeerde passen om de paar uur te verversen.

Die 24 uur geldt voor ov-chipkaarten. De blacklist voor bankpassen wordt elke paar minuten geüpdatet, maar dat geldt schijnbaar niet voor buitenlandse kaarten.

Met een al lang verlopen Spaanse Visa/Mastercard kon iemand blijkbaar gewoon inchecken, en controle in de trein was ook geen probleem (er is een incheck bekend dus het zal wel kloppen). Uitchecken was wel een probleem, dus die verificatie vindt wel degelijk plaats.

Met een virtuele kaart kan je dus gewoon een dagje reizen en hem daarna opheffen, want een incasso zou toch pas de volgende dag plaatsvinden. In feite zou je zelfs een binnenlandse rekening daarvoor kunnen ‘slachtofferen’.

Verlopen kaarten lijkt me stug want de einddatum van een kaart staat in de kaart zelf dus daar is geen check bij de bank voor nodig. Geblokkeerde kaarten is natuurlijk een ander verhaal.

Even een kleine bump voor dit topic, want je hebt helemaal gelijk gehad @pjans .

Inmiddels is Ovpay inderdaad overgestapt op een systeem met borg. Benieuwd wat het totaalbedrag is aan onbetaalde reizen, alleen bij Revolut is dit bijvoorbeeld al een vermogen.

Er zijn n.a.v. onderzoek door RTL eerder dit jaar kamervragen gesteld. Het antwoord was dat er rekening was gehouden met fraude, het systeem goed ontworpen was en de schade eenvoudig op de daders verhaald kon worden. Onzin, want het systeem is daarna meerdere keren overhoop gegooid totdat men is overgeschakeld op een systeem dat hetzelfde is als bij de OV-chipkaart en vergelijkbaar met andere landen (met BORG). 

Nee @Henk_NL 

Het is niet meegevallen. Na meerdere noodoplossingen en miljoenen euro's schade is men overgestapt op een systeem waar men bijvoorbeeld in België direct al voor gekozen had, namelijk met borg. Ik ben benieuwd of er ooit een systeem in Duitsland of België ontworpen wordt waarbij wij als Nederlanders ruim een half jaar kunnen reizen zonder te betalen 🙄 (ik denk dat we allemaal het antwoord wel weten.) 

Dat was een goed idee. Dat heeft OVpay geprobeerd en dat heeft gedeeltelijk geholpen, maar ook met plastic passen kan zonder borg natuurlijk eindeloos gefraudeerd worden. Een nieuwe plastic pas is nog steeds een stuk goedkoper (soms zelfs gratis) dan een dag gebruikmaken van het OV in Nederland of zelfs een enkele reis.