OV Pay vrij gemakkelijk te kraken

Ik kan me niet voorstellen dat ze in de VS en Litouwen en weet ik veel waar zich aan gaan passen aan het Nederlandse ov pay systeem. Die fraude via bijvoorbeeld virtuele Revolut kaarten vindt al plaats sinds de introductie en het is nog steeds probleemloos mogelijk . Bij Revolut is er nog geen euro teruggehaald en de Betaalvereniging heeft in Litouwen niets te vertellen 

ik denk toch echt dat je je systeem aan zult moeten passen aan de rest van de wereld i.p.v. het omgekeerde te verwachten. Ik ken behalve ov pay niet 1 andere dienst op deze hele planeet waar je 'gratis' gebruik van kunt maken door je kaart te verwijderen na een transactie/inchecken 

Dat is precies het probleem met publieke aandacht voor deze “loophole” - grote kans dat dit probleem al wel bekende was bij de OVPay organisatie. Ik heb in mijn werk ook regelmatig te maken met z.g.n. ‘pentesten’ en aan de bevindingen wordt over het algemeen een score gegeven aan de hand van het mogelijk risico. 

Op het moment dat het risico zeer klein is, zit het een live gang niet erg in de weg. Echter dat wordt heel anders zoals nu er publieke aandacht aan geschonken wordt. Ergens prima op het gebied van veiligheid, maar ergens zet je de organisatie OVPay / TLS en de vervoerders nu wel voor een voldongen feit, je weet gewoon dat het misbruik gigantisch gaat toenemen. Zeker omdat het met Revolut (weet ik uit eigen ervaring) zeer eenvoudig om tot 5 virtuele kaarten aan te maken, binnen enkele minuten. 

Waar het misbruik van jongeren dagkaart inmiddels door strengere controle wellicht grotendeels uitgebannen is, hebben ze hier weer een nieuwe mogelijkheid tot ‘gratis’ reizen, en de pakkans is nihil, want je hebt immers een geldige transactie op je “virtuele” kaart staan. Net zo goed de NS op dat moment eigenlijk de verkoop van de dagkaart tijdelijk had moeten staken, omdat er inmiddels ook personeel bedreigd werd na ontdekking. 

OVPay kan eigenlijk op dit moment niet anders meer dan (tijdelijk) Revolut en andere buitenlandse banken met een dergelijk concept per direct uitsluiten van OVPay tot ze realtime reservering op de rekening kunnen zetten. 

Helaas voor de kleine groep reizigers die Revolut legitiem gebruiken op dit moment, maar die kunnen altijd nog een kaartje uit de automaat trekken of online kopen. De kosten zijn immers gelijk. 

Het risico dat dit volledig uit de klauwen loopt is gewoon een zekerheidje, je kan beter NU ingrijpen dan niets doen, want OVPay is wel de richting waar we heen moeten, omdat de OVChip kaart eigenlijk eindig is. 

Ik zat het net vol met verbazing te lezen. Wat slordig weer dit..

als je in Vlaanderen incheckt in tram of bus dan wordt er direct  gecheckt (dit gaat net zo snel als inchecken in Nederland) of je genoeg geld/bestedingsruimte hebt om je rit te betalen en vervolgens afgeboekt/gereserveerd. Bij onvoldoende saldo kun je niet inchecken. Het kan tegenwoordig dus wel degelijk

Voor elke rit doorheen de dag wordt er 2,50 euro gereserveerd

In Brussel wordt er 7,50 euro gereserveerd. Als je niet minstens 7,50 euro beschikbaar hebt op je rekening hebt, dan kom je bijvoorbeeld niet door de metropoortjes.

Om te kunnen reizen via contactloos betalen, wordt er tijdelijk een bedrag van € 7,50 gereserveerd op je rekening. Dit bedrag komt overeen met het maximale dagtarief. Het is mogelijk dat je deze reservering van € 7,50 ziet verschijnen in het overzicht van je transacties. Het resterende bedrag wordt weer vrijgegeven op het moment dat het correcte bedrag werd berekend, zo’n 2 à 3 werkdagen later. Maak je geen zorgen, enkel je gemaakte ritten worden aangerekend.

oV pay kan kaarten die gebruikt worden i.c.m.  smartphone/watch niet blacklisten, omdat ze niet beschikt over de originele kaartgegevens. Google bijvoorbeeld geeft je kaart een ander kaartnummer om zo je gegevens te beschermen en communiceert bij betalen alleen de 'nieuwe' gegevens, een nieuwe token creëren voor dezelfde kaart is voor ov pay een volledig nieuwe kaart. Dit is dus ook heel makkelijk te omzeilen 

dit is trouwens niet wat ze in het filmpje doen, daar vernietigen ze de originele kaart(gegevens)

@Robert B die verslaggever heeft ter plekke een revolut account geopend en zijn account was op dat moment nog niet geverifieerd. Het gaat dus om identificatie voor jou naar Revolut toe. Als jij ergens, bijvoorbeeld bij ov pay betaalt, dan hebben zij daarna alleen een kaartnummer (en vervaldatum) maar verder geen identiteitsgegevens 

Natuurlijk ging dit niet meevallen. De mensen die me hier een beetje kennen weten ook dat ik erg sceptisch naar TransLink en haar uitvoer kijk. Maar gelijktijdig ben ik in 12+ jaar in de OV-branch te vaak voor pessimist uitgemaakt. Ook op dit forum moet altijd mooi weer worden gespeeld. Derhalve schrijf ik steeds iets genuanceerder, zodat me dat alleszins niet verweten kan worden. 
 

Het is wéér een aan elkaar geplakt project aan het worden. 
 

Inmiddels doe ik totaal ander werk. Treinkaart is beëindigd en de salariswagen staat op de oprit. Wens ze veel succes en hopelijk komt alles goed. OV is een belangrijke maatschappelijke dienst. 

"RTL Nieuws heeft besloten om de naam van de gebruikte app niet te noemen."

de naam van de 'app' (het is een bank) is wel duidelijk zichtbaar in het filmpje

Toch benieuwd hoe de Betaalvereniging en TransLink deze mensen aan willen gaan pakken, want ze hebben niets behalve nummers van door een Litouwse bank uitgegeven kaarten en dan ook nog eens tokenized

Slechts het topje van de ijsberg verder, want er wordt ook nog op andere, vergelijkbare manieren gefraudeerd. Een kaart verwijderen/vernietigen is niet eens nodig. Zonder borg zal dit systeem altijd te fraudegevoelig blijven, daarom wordt er in België bij De Lijn en MIVB wel het maximale bedrag dat je kunt uitgeven aan reizen op een dag van je rekening geboekt.

Als je zonder borg wilt blijven werken is de enige gedeeltelijke oplossing in- en uitchecken met Google Wallet en Apple Pay af te schaffen 

Ja, maar je eigen rekening blokkeren is natuurlijk toch wat onhandig. 

Rustig @Stijn NS ..rustig Stijn …. pffffff..rustig… 😬

Ik ga morgen met de trein van Amsterdam naar Utrecht oké? Misschien controle? geen idee. Maar dat OVpay is toch echt wel een product waar jullie wat duidelijker mee om moeten gaan. En zoiets moet je van te voren bedenken. De meeste reizigers willen van A naar B. Zo goed en voordelig mogelijk. 🤔🔮

Dat het systeem vanaf morgen is aangepast natuurlijk ;) Ik hoop dat je begrijpt dat we dat willen ;)

@Rene74 Bedankt voor de link. 

De fraude in Essex zit wel behoorlijk anders in elkaar dan de fraude met OVpay.

Het ging daar om het afrekenen in de bus van losse kaartjes, waaronder dure abonnementen. Het betaalsysteem in de bussen deed geen check bij de bank alvorens de betaling te autoriseren. Dat werd pas aan het eind van de dag gedaan wanneer de bus in de garage stond. Er is toen voor kaarten van bepaalde banken, waaronder tot mijn verbazing ABNAMRO, een limiet van GBP 10 ingesteld.

Bij het gebruik van OVpay met betaalpas of creditcard wordt een incheck geregistreerd en aan het eind van de reis een uitcheck. Pas wanneer die gegevens bekend zijn kan de ritprijs worden vastgesteld. Het zou niet zo vreemd zijn wanneer bij het inchecken bijvoorbeeld €25 zou worden gereserveerd. Staat dat niet op de rekening dan kun je niet inchecken. Maar daar zal het poortjes- en pacltjessysteem wel niet op berekend zijn. Of duurt het veel te lang waardoor er rijen bij de toegangspoortjes ontstaan. Ook geen wenselijke situatie. Het autoriseren van een betaling (of reservering) kost 10-15 seconden.

Ik heb nog niets kunnen vinden over fraude in Londen met het reizen met kaarten van bijvoorbeeld Revolut zonder geld op de kaart. Ik heb op de community van Revolut wel een draadje gevonden over het gebruik van een Revolut-kaart bij TfL.
https://community.revolut.com/t/tfl-london-underground-authorisation-question/27611/3
Blijkbaar wordt er een een minimumlimiet van GBP 1,50 aangehouden om te kunnen inchecken. Was eerst GBP 10. Dus zonder geld op de kaart zou je niet moeten kunnen reizen in Londen.

Wie goed zoekt vind de nodige aanbieders. Er bestaan veel meer betaalsystemen met virtuele kaarten dan die van Revolut, allemaal werken ze min of meer het zelfde, met uitzondering van het deel van iDeal wat de meesten niet hebben. Veel van die virtuele kaarten kunnen aan een willekeurig bankrekeningnummer hangen en er zijn er ook een aantal die helemaal losstaan van bankrekeningen, dus volledig anoniem. De enige controle is een sms code naar het nummer dat je opgeeft. Dat zijn volledig virtuele rekeningen, die "laad” je vanaf een willekeurige bankrekening/creditcard/moneytransfer of iets dergelijks op met ongeveer 20 cent administratiekosten, hierdoor wordt de kaart geactiveerd en kan je hem voor onder andere OVPay gebruiken. Die 20 cent ben je kwijt als je een virtuele kaart verwijdert. Banken blokkeren zie ik niet zo snel gebeuren, de strijd aangaan met Apple, Google, Visa en Mastercard lijkt mij wat problematisch.
De NS zal zijn geld evengoed wel krijgen, ik denk niet dat TLS/OVPay de vervoersbedrijven kan laten opdraaien voor hun fouten…..

Och dan kwamen ze uit Utrecht en werkten in Alkmaar, kan ook. Het was Utrecht CS-Alkmaar waar het om ging alleszins.

Het is precies dezelfde discussie als in 2011, als dit op grotere schaal misbruikt gaat worden, dan valt het niet aan te pakken. Voor twee gasten (!!!) is al zo enorm veel opsporingscapaciteit aan het werk geweest, dat het eigen van de zotte is. En dan is wat deze heren hebben gedaan nog relatief lastig voor iemand zonder technische achtergrond.