Er is een beveiligingsfout gevonden in de website van de ov-chipkaart. Via dit veiligheidslek kunnen onbevoegden toegang krijgen tot de reissaldo en instellingen van iemands account. Zo zou iemand ook een abonnement op kunnen zeggen.

Sander Akkerman ontdekte het lek. Bij het overnemen van de sessie door middel van het uitlezen van de cookie is te zien welke OV-kaarten er in gebruik zijn per gebruiker, en kan de optie 'automatisch opladen' via een bankincasso worden ingesteld of uitgezet.

Woordvoerster Anita Hilhorst van Trans Link Systems liet aan ICT website Webwereld weten dat de kwetsbaarheid geen veiligheidsfout is is maar een bewuste keuze. Volgens haar hadden gebruikers die vanaf meerdere ip-adressen inlogden veel last, dus worden nu meerdere ip-adressen toegestaan.

Wel gaan ze kijken of er nog wijzigingen aan het inlogsysteem moeten worden doorgevoerd, voor meer veiligheid. Ook worder er aan de kant van Trans Link Systems voldoende gedaan om veilig te waarborgen.

Bron: de Stentor