Ov-chipkaart slaat privégegevens onnodig op
De ov-chipkaart registreert waar en hoe laat je reist. Privégegevens die gedurende zeven jaar opgeslagen worden. Aan Webwereld vertelt beveiligingsexpert Bart Jacobs dat het privacyvriendelijker had gekund als de software anders in elkaar zat.
Nu slaat de vervoerskaart op wie wanneer over welke weg reist. Om het reisrecht te controleren en de betaling uit de voeren, is het niet nodig te weten wie door de toegangspoort naar de trein of metro gaat.
Hash
Volgens Jacobs is een zogenoemde hash, een niet herleidbaar getal, voldoende om iemand in of uit te checken. Bij elke reis opent een nieuwe hash de poort voor de reiziger. “Dan weet je toch hoeveel reizigers er op een traject zijn, maar weet je niet wie het zijn”, licht Jacobs toe.
[related_article id=”158578″]
Gebrek aan vertrouwen
De kans dat het bovenstaande scenario werkelijkheid wordt, is bijzonder klein. De kaart is namelijk ruim een jaar geleden gekraakt, waardoor het vertrouwen in de techniek ver te zoeken is.
Slechts controleren op geldigheid van het vervoersbewijs is daarom niet mogelijk. De opslag van persoonsgegevens is noodzakelijk om eventuele fraude op te sporen. Dat die informatie zeven jaar bewaard wordt, vindt de beveiligingsexpert daarentegen niet nodig. Daarnaast is het nog maar de vraag of de gegevens daadwerkelijk worden gewist.
Jacobs onderzoekt momenteel technieken om de kaart privacyvriendelijker te maken. De eerste resultaten worden binnenkort bekendgemaakt.
De ov-chipkaart registreert waar en hoe laat je reist. Privégegevens die gedurende zeven jaar opgeslagen worden. Aan Webwereld vertelt beveiligingsexpert Bart Jacobs dat het privacyvriendelijker had gekund als de software anders in elkaar zat.
Nu slaat de vervoerskaart op wie wanneer over welke weg reist. Om het reisrecht te controleren en de betaling uit de voeren, is het niet nodig te weten wie door de toegangspoort naar de trein of metro gaat.
Hash
Volgens Jacobs is een zogenoemde hash, een niet herleidbaar getal, voldoende om iemand in of uit te checken. Bij elke reis opent een nieuwe hash de poort voor de reiziger. “Dan weet je toch hoeveel reizigers er op een traject zijn, maar weet je niet wie het zijn”, licht Jacobs toe.
[related_article id=”158578″]
Gebrek aan vertrouwen
De kans dat het bovenstaande scenario werkelijkheid wordt, is bijzonder klein. De kaart is namelijk ruim een jaar geleden gekraakt, waardoor het vertrouwen in de techniek ver te zoeken is.
Slechts controleren op geldigheid van het vervoersbewijs is daarom niet mogelijk. De opslag van persoonsgegevens is noodzakelijk om eventuele fraude op te sporen. Dat die informatie zeven jaar bewaard wordt, vindt de beveiligingsexpert daarentegen niet nodig. Daarnaast is het nog maar de vraag of de gegevens daadwerkelijk worden gewist.
Jacobs onderzoekt momenteel technieken om de kaart privacyvriendelijker te maken. De eerste resultaten worden binnenkort bekendgemaakt.