Hacken OV-chipkaart is computervredebreuk (wtf?)

| AE 2347 | Security | 20 reacties

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart.

De rechter spreekt van “binnendringen in de chip” van de OV-kaart. Omdat deze eigendom is van Trans Link Systems, wordt daarmee in andermans computersysteem binnengedrongen en dat is strafbaar. Ik vind dat een hoogst merkwaardige uitleg. Zo is dit wetsartikel niet bedoeld. En het zou betekenen dat simlocks verwijderen óók illegaal is, wanneer de telecomboer je de SIM maar in bruikleen geeft in plaats van verkoopt. De rechter had in 2002 al geoordeeld dat dat niet opgaat.

Wel terecht is de beschuldiging van het valselijk opmaken van een betaalkaart (art. 232 Strafrecht). Met de OV-chipkaart kun je immers betalen voor een dienst, en het namaken van zulke betaalmiddelen is (terecht) strafbaar.

Het verweer van de man dat hij alleen de zwakheden wilde blootleggen in de kaart gaat niet op.

Uit niets blijkt dat verdachte contact heeft gezocht met de media of met [bedrijf 1] om zijn standpunt met betrekking tot de beveiliging van de OV-chipkaart weer te geven. Verdachte heeft weliswaar verklaard dat zijn onderzoek nog niet was afgerond, maar op het moment van zijn aanhouding had hij al 26 OV-chipkaarten vervalst en uit niets blijkt dat verdachte van plan was hiermee op korte termijn te stoppen. De rechtbank is dan ook van oordeel dat onder deze omstandigheden het beroep van verdachte op artikel 10 van het EVRM niet kan slagen.

Op zich kan het legaal zijn om dingen te kraken om daarmee te laten zien dat we een probleem hebben, maar dan moet je het wel houden bij het kraken en daarna het bedrijf inlichten en/of naar de pers stappen (responsible disclosure). Maar deze man is gewoon gaan reizen met de kaart, en dat is zeer zeker niet de bedoeling bij responsible disclosure.

Arnoud

Deel dit artikel

  1. @Menno: Ik heb diverse algemene voorwaarden van telecomproviders gezien dat een gesponsorde telefoon pas je eigendom is na de (initi?le contractstermijn). Hier, die van T-Mobile:

    Het Randapparaat dat aan de Klant is verkocht en geleverd, blijft eigendom van T-Mobile totdat alle periodieke vergoedingen door de Klant zijn betaald.
    Wie dus iets verandert in het Randapparaat zonder goedkeuring van T-Mobile, pleegt een strafbaar feit.

    @Joost: Hm dat is waar. Misschien moet ik iets nuanceren dus: een verhuurder kan niet bepalen wanneer de huurder huisvredebreuk pleegt.

  2. Dat het eigendom bij TLS blijft staat in de AV, maar overal hebben TLS en de vervoersbedrijven het expliciet over “kopen”. Je koopt een OV-chipkaart… Bij koop draag je het eigendom over. Kunnen algemene voorwaarden dat wel verhinderen? BW boek 7, art. 9 lid 3 lijkt te zeggen van wel, maar heeft het over het “stellen in de macht van de koper”. Waarom zou het onderzoeken of zelfs kraken van de beveiliging buiten die macht vallen?

  3. Goed punt Juerd. Het is op zich legaal om een koop onder eigendomsvoorbehoud te doen. Dat wil zeggen dat je niet al eigenaar wordt zodra je de gekochte zaak ontvangt, maar pas nadat je aan de eisen van het voorbehoud hebt voldaan. Meestal is die eis “betaling van de koopsom”. Zie artikel 3:92 BW voor de juridische constructie. Je wordt dan geen eigenaar maar je krijgt de zaak als het ware te leen totdat je de tegenprestatie hebt geleverd.

    Het komt er dus op neer dat als jij me je telefoon leent om een belletje te plegen en ik je agenda raadpleeg, ik inbreek in jouw telefoon. Dat gaat mij echt te ver.

  4. Een computer systeem bestaat uit meer dan alleen wat hardware maar ook uit software en data. Op zich vind ik het wel te verantwoorden dat het manipuleren van de data op een OV kaart het computersysteem van de OV chipkaart verstoort. In feite is de data op de chipkaart een soort gedistribueerd opgeslagen data van het OV chipkaart computersysteem.

  5. enigszins offtopic: – Waar blijkt uit dat de chipkaart in bruikleen is? Ik heb er 7,50 voor betaald in de veronderstelling dat het nu mijn eigendom is. – Als het ding in bruikleen is, behoort het dan ook kosteloos vervangen te worden bij defect raken? (Zonder dat ik iets met opzet doe.)

  6. Als dit strafrechtelijk ?cht als computervredebreuk moet worden uitgelegd (zou wel te gek voor woorden zijn, maar stel), dan kun je hiervoor natuurlijk wel Wegwerp OV-Chipkaarten gebruiken (zo heten ze officieel), als je dan ook nog beweerd dat je ze uit de vuilnisbak hebt gevist dan lijkt het me dat je helemaal veilig zit (want het zijn dan overduidelijk derelicten). Als je dan kaarten ook namaakt zonder het oogmerk om er wederrechtelijk voordeel mee te behalen, dus aantoonbaar reist met een geldig kaartje (wat de veroordeelde dus niet lukte). Dan zou je naar de letter van de wet niet strafbaar zijn. Al blijft het oppassen, want een officier van justitie tovert dan vast weer een ander konijn uit de hoge hoed.

  7. @nl-x, 11: Is bij aankoop van de kaart meegedeeld dat er algemene voorwaarden van toepassing zijn (en waren die op verzoek beschikbaar?) Zo niet, dan ben jij daar niet aan gebonden.

    Naar mijn mening horen de vervoersmaatschappijen het eigendom op een OV-kaart over te dragen waar ze over “verkopen” of “kopen” praten. Ik vraag me af of ik het gebruik van TLS-algemene voorwaarden als “listige kunstgreep” moet betitelen om de reizigers geld te ontfutselen…

  8. Om de te verwachten standaard reactie van TLS / de OV bedrijven voor te zijn (niets aan de hand, alles is veilig) lijkt het me verstandig om in tegenwoordigheid van getuigen wel met zo’n gemanipuleerde kaart te reizen en pas daarna over te gaan tot “responsible disclosure”.

    Om daarna nog eens te overdenken waarom een hele bevolking zich laat afschepen met een per definitie onveilig ding alsof het een wettig betaalmiddel zou zijn.

  9. Eigenlijk wordt er een best wel interessante vraag naar voren gehaald. In hoeverre zijn die ‘algemene voorwaarden’ toepasbaar?

    Immers. Ik koop mijn kaart bij een automaat. En hoewel je wel kan zeggen dat het misschien niet feasible is om algemene voorwaarden bij een automaat te geven (zoals bij een supermarkt), is er niemand om mij te vertellen van wie die automaat nou is. Die zou wel van de NS of van het GVB kunnen zijn. Of iemand anders. Of misschien kocht ik mijn kaart wel bij het NS loket of bij de Albert Heijn ofzo. De algemene voorwaarden van Albert Heijn roepen de toepasbaarheid van de TLS niet in (durf ik zo te gokken).

    Dus waar halen ze het vandaan om ineens met algemene voorwaarden te komen?

  10. Het wetboek van strafrecht stelt als computervredebreuk strafbaar het “opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.” Volgens mij is OV-chipkaart slechts een opslagsysteem en is het dus zeker geen geautomatiseerd werk.

    Daarnaast merk ik net als Juerd op dat ze het zelf hebben over kopen. Op de eerste bestel pagina verwijst men nar de bestelvoorwaarden, waarin men de meest recente “Algemene Voorwaarden OV-chipkaart” van toepassing verklaart. Dit lijkt mij een goede grond lijkt om die te vernietigen. Na wat zoekwerk vind ik de Algemene Voorwaarden OV-chipkaart en daarin staat inderdaad een eigendomsvoorbehoud in. Het lijkt me dat als men op de plaats waar ieder komt A zegt maar in de AV stiekem B schrijft, dat dit grond is om het A te laten zijn.

    Verder stel ik vast dat koopovereenkomst is een overeenkomst waarbij een partij een zaak (OV-chipknip) te geven in ruil voor een bedrag. Dat is het geval, dus gaat artikel 6:9 BW. Lid 3 kun je m.i. niet zo uitleggen dat lid 1 helemaal geen betekenis meer heeft. Dit artikel valt hetzij onder regelend recht, in welk geval je lid 3 niet nodig zou hebben, of dwingend recht in welk geval je lid 1 net zo goed onder regelend recht had kunnen laten vallen.

  11. Deze man is NIET gewoon gaan reizen met de kaart, want:

    De rechtbank overweegt dat op basis van de inhoudvan het dossier en het verhandelde ter terechtzitting niet kan worden vastgesteld dat verdachte het oogmerk heeft gehad om zichzelf te bevoordelen en om zelf opzettelijk de door hem vervalste OV-chipkaarten als echt en onvervalst te gebruiken. Verdachte heeft namelijk gesteld dat hij met de vervalste OV-chipkaarten slechts in- en uitcheckte en daarnaast een regulier vervoersbewijs gebruikte. In het dossier bevindt zich onvoldoende bewijs om te kunnen oordelen dat dit niet het geval was. De rechtbank zal daarom het eerste deel van het tenlastegelegde onder feit 3 niet bewezen verklaren.
  12. Ik vind het lang niet duidelijk dat die OV-chipkaarten geen eigendom zijn geworden van de KOPER. Een bepaling in de AV kan van koop naar mijn mening geen bruikleen maken.

    Eigendomsvoorbehoud gaat in dit geval in ieder geval niet op (want de koopprijs is al betaald), maar iemand die een zaak die hij onder eigendomsvoorbehoud heeft gekocht met opzet vernietigd, maakt zich volgens mij niet schuldig aan vernieling. Net zo min maak je je naar mijn mening schuldig aan “computervredebreuk” door in te breken in een onder eigendomsvoorbehoud gekochte computer.

    (Overigens sluit ik niet uit dat je je schuldig kunt maken aan computervredebreuk door in te breken in een account van een ander op een computer die jouw eigendom is.)

    Verder is het ook niet duidelijk dat een OV-chipkaart een “geautomatiseerd werk (of deel ervan)” is, en of er wel sprake was van “binnendringen”. De rechter had op zijn minst moeten aangeven hoe hij de handelingen beschreven in het deel van de bewezenverklaring van feit 1 volgend op “immers” mapt op de bestanddelen van art. 138ab lid 1 Sr.

    Manipuleren van een OV-chipkaart gevolgd door gebruik van die kaart voor in- en uitchecken zou wellicht wel onder computervredebreuk kunnen vallen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

Volg de reacties per RSS