Website ov-chipkaart blijkt al langer lek

Het bedrijf achter de OV-chipkaart kreeg begin dit jaar al meldingen over de onveilige opslag van gegevens op de website ov-chipkaart.nl. Dat bevestigt een woordvoerder van Trans Links Systems (TLS) maandag na berichtgeving van nu.nl. Eerder zei het bedrijf pas onlangs op de hoogte te zijn gebracht van het technische probleem.

Vanaf januari hebben vijftien gebruikers van de website het probleem gemeld. "We kwamen daar pas achter nadat we in het weekend onderzoek gedaan hebben", aldus de zegsvrouw maandag. Volgens haar kon TLS eerder niets met de meldingen omdat die niet concreet waren. "We snapten niet goed wat er aan de hand was."

Pas toen een kaarthouder uitgebreid verslag deed van zijn ervaringen met de website en daarbij ook screenshots stuurde, kon TLS het probleem aanpakken. Het bedrijf denkt het lek nu te hebben verholpen. "We gaan vanavond een release doorvoeren en dan zou het probleem morgen opgelost moeten zijn", aldus de woordvoerder.

De eerdere meldingen blijken niet te zijn doorgestuurd naar de technische dienst van TLS, die daardoor dus niet op de hoogte was van het probleem.Tenminste één klant stuurde echter in juni ook al bewijs door van de fout.

Door een account aan te maken op ov-chipkaart.nl kunnen reizigers hun transactiegegevens zien en hun saldo verhogen. Meer dan twee miljoen reizigers hebben er een account. Door het technische probleem konden de gegevens zichtbaar zijn voor anderen en zelfs deels worden gewijzigd, schreef NRC Handelsblad zaterdag.

Omdat de website door zoveel mensen wordt gebruikt om te reizen met het openbaar vervoer, was het offline halen van de site geen optie, aldus TLS. Daardoor konden willekeurige gebruikersgegevens dus maandenlang verschijnen op het scherm van andere reizigers. TLS zegt tegenover NU.nl nog altijd achter die keuze te staan.