Het blijkt kinderlijk eenvoudig om online het reisgedrag te volgen van mensen die een anonieme ov-chipkaart gebruiken. Daarvoor is alleen het kaartnummer en de vervaldatum nodig en die staan beiden op de kaart zelf. 

Het privacylek kwam aan het licht toen anonieme ov-chipkaart-gebruiker Edo-Martijn Janssen op de website ns.nl een account aanmaakte voor zijn kaart. Via zo’n account is het mogelijk online een transactieoverzicht in te zien, inclusief de plaatsen waar is in- en uitgecheckt. Als test maakte Janssen een account aan onder de naam Pietje Puk die woont op het hoofdkantoor van de NS. Daar koppelde hij via een anoniem e-mailadres vervolgens moeiteloos ov-chipkaarten van gezinsleden aan, wiens reisgedrag Pietje Puk dus allemaal nagenoeg real time ongemerkt kon volgen. 

Via de website ov-chipkaart.nl blijkt het nog makkelijker te gaan. Daar kan je anonieme ov-chipkaarten aan een account koppelen door alleen het kaartnummer en de vervaldatum van die kaarten in te voeren. Snel even deze gegevens van iemands kaart overpennen is dus voldoende om vervolgens ongemerkt het reisgedrag van die persoon per trein, metro, bus of tram te volgen.

De truc werkt alleen op ov-chipkaart.nl, de site van Trans Link Systems, het bedrijf achter de ov-chipkaart. Op Ns.nl kunnen ov-chipkaarten ook gekoppeld worden. Volgens NRC vereist de NS dat de gebruiker van de anonieme kaart om de registratie te valideren eerst bij een kaartautomaat een 'kaartservicecode' aan te vragen. Pas daarna kunnen de transactiegegevens kunnen worden ingezien. Die extra beveiliging heeft Trans Link Systems niet, waardoor bijvoorbeeld het maken van een foto van de kaart voldoet om iemands ov-reizen te kunnen volgen.

Alles bij de bron; NRC, Tweakers


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha