Het is mogelijk dat derden een anonieme ov-chipkaart koppelen aan een account op ov-chipkaart.nl. Hiermee is het reisgedrag van de anonieme bezitter van de anonieme kaart te volgen. Doordat het unieke OV-Chipkaart-nummer dat op de kaart is vermeld samen met de verval datum in te vullen op de website kunnen de reisgegevens worden ingezien.

Bij een test van ict-website Tweakers bleek inderdaad dat met alleen gegevens op de achterkant van de kaart aan een willekeurig account gekoppeld kan worden. Volgens het NRC kunnen bijvoorbeeld jaloerse echtgenotes hun man ten aller tijde volgenen zouden werkgevers zelf kunnen controleren of werknemers een geldig ziekteverzuim hebben.

De truc werkt alleen op ov-chipkaart.nl, de site van Trans Link Systems, het bedrijf die de transactief van de chipkaart beheert. Ook op de site van de NS werkt de anonieme kaart ook maar hierbij moet als tussenstap wel een 'authorisatiecode' worden aangevraagd op de kaartautomaat, waarbij anderen niet direct de gegevens in kunnen zien.

Ook bij kaarten die op naam staan, en dus gekoppeld zijn aan een abbonement, zijn de reisgegevens van te traceren. Bij de koppeling op de website moet het kaartnummer, de geboortedatum en de postcode worden ingevoerd, waarna deze aan een willekeurig account gekoppeld kunnen worden. Ondanks dat niet al deze gegevens op de kaart vermeld staan lijkt dit geen sterke beveiliging te zijn.

Een woordvoerster van Trans Link Systems zegt dat het bedrijf heeft voldaan aan de vraag van consumentenorganisaties om de reisgeschiedenis beschikbaar te maken voor anonieme kaarten. "We weten verder niets van die mensen. We kunnen ze bij het inloggen dus alleen vragen om hun kaartnummer en de vervaldatum." Het bedrijf kon niks zeggen over de extra tussenstap die de NS wel weer biedt, om te voorkomen dat derden inzicht krijgen in het reisgedrag.

Bron: http://tweakers.net/nieuws/88522/derden-kunnen-reisgegevens-anonieme-ov-chipkaart-volgen.html