De gegevens van zo'n twee miljoen gebruikers van ov-chipkaart.nl zijn al veel langer onveilig dan in eerste instantie werd gemeld. De eerste melding van de fout kwam al binnen in januari dit jaar.
Website ov-chipkaart was al veel langer lek.

Dat bevestigt Trans Link Systems (TLS), het bedrijf achter de OV-chipkaart, naar aanleiding van mailwisselingen tussen reizigers en de klantenservice van ov-chipkaart.nl.

Door het lek was het voor klanten van de OC-chipkaart mogelijk om op de website op willekeurige momenten de gegevens en transacties van andere gebruikers te zien. Zo konden de adresgegevens, de transactiegegevens, de reisgegevens en het saldo eenvoudig worden ingezien.

Eerder meldde TLS dat het pas sinds eind vorige week op de hoogte was van het lek, en dat er een enkele klacht over was binnengekomen. Enkele dagen geleden bleek dat er al meerdere klachten over waren binnengekomen, die niet geregistreerd zouden zijn bij de technische dienst, waardoor er geen oplossing werd geboden.

"Dit had niet mogen gebeuren, maar het is wel gebeurd", aldus een woordvoerder van het bedrijf, dat alsnog zal reageren op de gebruikers die melding maakten van het beveiligingslek.

'Site online houden'

Omdat de website door zoveel mensen wordt gebruikt om te reizen met het openbaar vervoer, was het offline halen van de site geen optie, aldus TLS. Daarom was het mogelijk in sommige gevallen dat er gegevens van een willekeurige gebruiker in beeld kwamen te staan. TLS beweert achter de keuze te hebben gestaan om de site online te houden.

Volgens het bedrijf was het bovendien lastig om de fout op te sporen, omdat die willekeurig leek op te treden en daardoor niet reproduceerbaar was. Ook een ethische hacker binnen het bedrijf die in dienst van TLS was kon het lek niet misbruiken.

Wel attendeert TLS dat het lek niet kon worden misbruikt om geld af te schrijven. Ook zou het lek vandaag moeten worden gedicht met nieuwe achterliggende software achter hun website.

Bron: Nu.nl