Website OV-chipkaart bewust 'lek'

In de reeks 'Lektober'-lekken van Webwereld is nu de website OV-chipkaart.nl aan de beurt. Persoonlijke gegevens van reizigers zouden eenvoudig te stelen of te wijzigen zijn.

Cookie

Het lek draait om de 'cookie', een kleine code die op de computer wordt opgeslagen als een gebruiker is ingelogd op een website. Die is volgens Webwereld te stelen, waardoor kwaadwillenden een eenmaal opgestarte sessie kunnen overnemen en schade kunnen aanrichten. De site geeft bijvoorbeeld een overzicht van het reisgedrag, de abonnementen die de gebruiker heeft, maar ook een set persoonsgegevens. Accounts, evenals de mogelijkheid tot automatisch opladen, kunnen worden gewijzigd. Ook kan een kaart als gestolen worden aangemeld, waarna de eigenaar er niet meer mee kan reizen.

Onveilig

In technische termen controleert de cookie niet het IP-adres (de internet-locatie). De gebruikte cookies zijn ook niet van de beveiligde soort ('secure cookies'). Met enkele aanpassingen zou die beveiliging wel mogelijk zijn.

Bewust

Trans Link Systems, het consortium achter de OV-chipkaart, zegt dat het hier niet om een fout gaat, maar om het bewust faciliteren van mensen die vanaf verschillende locaties werken. Zo kan een sessie op de site op één plek worden begonnen en op een andere afgemaakt.

Afweging

"Bij de keuze om deze mogelijkheid aan onze gebruikers aan te bieden, zijn de eventuele risicos en het gebruikersgemak tegen elkaar afgewogen. Om de risico's te beperken, zijn uitgebreide technische beveiligingsmaatregelen getroffen die voorkomen dat de hiervoor gebruikte cookies kunnen worden afgeluisterd." Die maatregelen worden door Webwereld in twijfel getrokken.