Achtergrond
image

Juridische vraag: Hoe legaal is OV-chipkaart hacksoftware?

vrijdag 11 februari 2011, 09:51 door Arnoud Engelfriet, 19 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Deze week een 'bezemwagen-editie' van de Juridische vraag, waarbij Arnoud elke dag één vraag kort behandelt.

Vraag: De hack van de OV-chipkaart is groot in het nieuws geweest en een gedeelte van de benodigde software circuleert op het internet. Is het legaal om OV-chipkaart hacksoftware te programmeren en te verspreiden?

Antwoord: Het vervalsen van een betaalkaart is strafbaar (art. 232 lid 1 Strafrecht). Hieronder valt ook het met een hack opladen van een OV-chipkaart zonder te betalen. Volgens art. 234 is het ook strafbaar om "stoffen, voorwerpen of gegevens" te verkopen of voorhanden te hebben. Software waarmee je alleen kunt constateren dat de kaart onveilig is en waarmee je niet het saldo kunt verhogen lijkt me legaal.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (19)
11-02-2011, 11:13 door Preddie
Arnoud, geld voor de OV-chipkaart ook dat je het recht heb om een kopie te maken van het origineel, om zo de kopie te gebruiken en het origineel te bewaren op een veilige plek ?


En hoe zit het precies met de definities van betaalpas, betalen moet met een wettig betaalmiddel. Bij mij weten is geld het enige wettige betaalmiddel dat we hebben, zelfs een pinpas is geen wettig betaalmiddel. Zo is het per definitie niet mogelijk om de betalen met een "betaalpas" of "waardekaart", maar is er in mijn ogen eerder spraken van ruilhandel .....

Of zit ik hiermee weer in een totaal verkeerde hoek ?
11-02-2011, 11:27 door Anoniem
@predje dat lijkt me niet. Je mag ook geen kopietje maken van een bankbiljet, en het origineel bewaren. de OVchipkaart is een betaalmiddel. Bovendien kan je niet eens een kopie van een chipkaart maken, elke kaart wordt uniek herkend.
11-02-2011, 11:37 door Arnoud Engelfriet
Misschien heb je het recht om een kopie te maken van je OV-chipkaart voor het geval het origineel gestolen wordt, maar ik vermoed dat in 9 van de 10 gevallen dit recht misbruikt gaat worden door mensen die hun chipkaart valselijk opladen en dan zeggen dat ze vergeten waren hun reservekopie te syncen met het origineel.

De term 'wettig betaalmiddel' betekent alleen dat áls je een schuld hebt, je die met wettige betaalmiddelen moet kunnen voldoen. Zo mag ik een geldschuld voldoen via bankoverschrijving, en kan de schuldeiser niet mij verplichten tot betaling a contant. Er zijn daar weer nuances, zoals dat ik niet met tienduizend ééncentsmuntjes mag betalen.

Als vooraf afgesproken is dat ik met betaalmiddel A moet betalen, dan heb ik me daaraan te houden. Zo mag ik in de supermarkt mijn geldschuld voor de boodschappen niet voldoen met een biljet van 200 euro want er is tijdig gemeld dat die niet worden geaccepteerd.

Het gaat in dit artikel echter ook om andere tokens waarmee je een dienst kunt afnemen, zelfs als het token geen betaalmiddel is. Zo zou je ook namaak van een parkeerkaart (uitrijkaart) onder dit artikel kunnen laten vallen. Met een valse uitrijkaart neem je immers de dienst "parkeren" af zonder de vergoeding te voldoen.
11-02-2011, 11:58 door Eerde
De software is niet schuldig (zou enkel verboden kunnen zijn indien je er enkel mee zou kunnen falsificeren), net als een mes, handig bij het koken en moord op je toekomstige ex. Oeps dat laatste schijnt nu net weer niet te mogen met dat mes ;)
11-02-2011, 13:03 door Wim ten Brink
Wat ik wel leuk vond is dat toen ik hoorde van de hack en hoe eenvoudig het was, ik ook meer las over de tagreader die je daarbij nodig hebt en hoe goedkoop deze tegenwoordig zijn! :-) Omdat ik in het verleden wel eens meer heb willen weten over RFID tagreaders heb ik er dus meteen eentje gekocht met een verzameling extra tags, zodat ik nu zelf kan "spelen" met de mogelijkheden ervan. En ja, als software ontwikkelaar is dat best wel nuttige kennis. :-)
Alleen, nu is het ook interessant voor mij om uit te gaan zoeken hoe die OV-hack wordt uitgevoerd en waar de zwakheden zitten. Nu kan ik dat wel op het Internet nalezen maar ik heb nu ook de mogelijkheden om dit zelf te onderzoeken. Daarvoor zal ik misschien ook code schrijven die het saldo en andere gegevens op de kaart aanpast, net zoals ik op mijn eigen tags het een en ander aan data kan aanpassen. Ik vraag mij alleen af in hoeverre dit onderzoek legaal is. Mag ik, als onderzoeker:
1) de kaart die ik zelf hack uittesten bij de chipreaders van het OV?
2) de code die ik vervolgens genereer om die kaart te hacken vrijgeven op het Internet?
-
Of ik ook daadwerkelijk dit onderzoek ga doen is maar de vraag. Ik heb veel andere, leuke ideeen voor mijn tagreader. Even kijken in hoeverre die tags tegen mijn vriezer kunnen, bijvoorbeeld. Dan kan ik de inhoud van mijn vriezer met tags bijhouden. :-)
11-02-2011, 13:16 door Syzygy
Door Anoniem: @predje dat lijkt me niet. Je mag ook geen kopietje maken van een bankbiljet, en het origineel bewaren. de OVchipkaart is een betaalmiddel. Bovendien kan je niet eens een kopie van een chipkaart maken, elke kaart wordt uniek herkend.
Dit is appels met peren vergelijken.
Het geld kopiëren valt onder valsemunterij en dat is wat anders dan het kopieren van data(houders).
Zo mag je ook een auto van merk X niet 1 op 1 namaken en die als auto van merk X verkopen , dat wordt weer gedekt door andere artikelen.

@ WorkshopAlex
Ik denk dat je wel die data mag aanpassen maar je mag het dan niet (meer) als geldig betaalmiddel voor vervoer gebruiken.
11-02-2011, 13:27 door WhizzMan
Eerde, dat mes heeft meerdere toepassingsmogelijkheden. Als de software als (hoofd)doel heeft om iets illegaals te doen, is het iets wat verboden kan worden. De "kom nou toch" toets is hier vrij goed voor te gebruiken.
11-02-2011, 13:58 door Wim ten Brink
Door Syzygy: @ WorkshopAlex
Ik denk dat je wel die data mag aanpassen maar je mag het dan niet (meer) als geldig betaalmiddel voor vervoer gebruiken.
Ach, de laatste keer dat ik met het OV een ritje maakte was 4 jaar geleden. Ik ben al een jaar of 8 niet meer uit de auto te krijgen, mede door de slechte prestaties van het OV. (Treinen die uitvielen, vertragingen van 30 minuten en meer en buschauffeurs van spitsbussen die gewoon mijn bushalte vergaten waardoor ik een tiental kilometer moest lopen naar een reguliere buslijn!) Ondertussen heb ik een andere werkplek en met de auto ben ik 90 minuten onderweg, als er file is. (45 zonder files!) Met het OV kost diezelfde rit mij ook 90 minuten, mits er geen vertraging is! Ik heb dus totaal geen belang bij een OV kaartje. Maar als programmeur heb ik wel interesse in de techniek. :-)
Maar goed, om het te testen zal ik zorgen dat ik een geldig bewijs heb. Aan de andere kant, ik kan mezelf ook gewoon aanmelden bij het poortje zonder door te lopen. En dan een half uur later weer afmelden. (Eventueel met de auto naar de volgende halte.) Dat zou interessant worden want technisch gezien maak ik geen rit. Ik breng alleen hun administratie in de war. :-)
In Amsterdam is dat extra leuk want om van Gein naar Gaasperplas te gaan moet je eerst met de metro een stukje de stad in en dan weer uit. Een rit van toch al gauw 30 minuten. Met de auto is dat stukje binnen 10 minuten te doen. Ben benieuwd of het OV dat soort rare fratsen zal opmerken in hun administratie! :-) En of dat strafbaar is! :-)
11-02-2011, 19:03 door Eerde
Door WhizzMan: Eerde, dat mes heeft meerdere toepassingsmogelijkheden. Als de software als (hoofd)doel heeft om iets illegaals te doen, is het iets wat verboden kan worden. De "kom nou toch" toets is hier vrij goed voor te gebruiken.
Beweer ik iets anders dan ??
11-02-2011, 19:50 door root
Heeft iedere burger de plicht aangifte te doen van constatering van fraude? Ben ik verplicht mijn vriend aan te geven als ik zie dat hij reist met een illegaal opgewaardeerde kaart?
11-02-2011, 21:15 door Arnoud Engelfriet
Nee. Je bent gerechtigd aangifte te doen van het misdrijf maar niet verplicht. Die plicht bestaat alleen bij een paar heel zware misdrijven (zoals wanneer je vriend een aanslag op de koningin gaat plegen). Je aangifte zal niet ver komen als je geen bewijs kunt overleggen.
11-02-2011, 23:23 door Anoniem
Door Arnoud Engelfriet: Nee. Je bent gerechtigd aangifte te doen van het misdrijf maar niet verplicht. Die plicht bestaat alleen bij een paar heel zware misdrijven (zoals wanneer je vriend een aanslag op de koningin gaat plegen). Je aangifte zal niet ver komen als je geen bewijs kunt overleggen.

Er bestaan weinig misdrijven die zwaarder zijn dan fraude, vooral zaken die de overheid raken zoals vervalsing en belastingontduiking. Althans, daar lijkt het op.
12-02-2011, 21:52 door Anoniem
Reverse engineering
13-02-2011, 02:53 door Anoniem
Zijn jullie ook op de hoogte van de illuminati freemason ?
13-02-2011, 07:55 door Syzygy
Door WorkshopAlex:
In Amsterdam is dat extra leuk want om van Gein naar Gaasperplas te gaan moet je eerst met de metro een stukje de stad in en dan weer uit. Een rit van toch al gauw 30 minuten. Met de auto is dat stukje binnen 10 minuten te doen. Ben benieuwd of het OV dat soort rare fratsen zal opmerken in hun administratie! :-) En of dat strafbaar is! :-)

6 haltes met Bus 47 of 249 en ook 10 minuten !!
Maar het kan ook over Schiphol hahahahahaha

Misschien kan dit enige verlichting brengen :

http://www.gvb.nl/reizigers/toegankelijkov/Documents/Lijnenkaart-dec10-kaartzijde.pdf
15-02-2011, 11:51 door Bert de Beveiliger
Voor wat betreft de discussie 'wettig betaalmiddel': de OV-chipkaart is geen wettig betaalmiddel, net als de pinpas of een uitrijkaart; in alle gevallen betreft het een medium waarover een wettig betaalmiddel wordt vervoerd. Het staat een schuldeiser vrij een ongeschikt medium te weigeren (daarom mag je niet met de bus in ruil voor een uitrijkaart).

Wat voor mij wel een interessante vraag is, is of een vervoerder een strippenkaart mag weigeren. Voor zover ik weet niet, maar ik kan dat zo niet terugvinden - ik meen te weten dat OV-vervoerders wettelijk gehouden zijn aan het accepteren van de strippenkaart en dus strafbaar zijn wanneer ze deze weigeren.

@ Arnoud, weet jij dat?
15-02-2011, 12:01 door Arnoud Engelfriet
De juridische status van de strippenkaart is geregeld in de [url=http://wetten.overheid.nl/BWBR0011926/geldigheidsdatum_15-02-2011]Regeling nationale vervoerbewijzen openbaar vervoer[/url] (artikel 13), dat weer ingevoerd is op grond van het [url=http://wetten.overheid.nl/BWBR0011982/geldigheidsdatum_15-02-2011]Besluit personenvervoer 2000[/url]. Artikel 41 daarvan bepaalt dat een nationaal vervoersbewijs in heel Nederland geldig is in het openbaar vervoer, tenzij er een ontheffing is verleend (bv. een buurtbus).

Ik kan zo gauw niet vinden waar geregeld is dat men na invoering van de OV-chipkaart de strippenkaart mag weigeren als vervoersbewijs, maar ik kijk daar vast overheen nu.
15-02-2011, 12:11 door Bert de Beveiliger
Thanks. Even uitprinten en meenemen in de bus :-)
15-02-2011, 13:28 door Bert de Beveiliger
Als aanvulling heb ik even rondgesnuffeld op rijksoverheid.nl en er is geen (in ieder geval niet eenvoudig) lijst met ontheffingen voor de vervoerders te vinden. OV-chip reclamepraatjes daarentegen in overvloed, maar goed...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search