Tech

Almeerder hackt betaalsystemen in bussen vervoersbedrijf Keolis

15 augustus 2018 10:04 Aangepast: 15 augustus 2018 11:44
De AllGo-bussen van Keolis die nu in Almere rijden. Beeld © Keolis

De Almeerse Melvin Morssink heeft toegang gekregen tot de betaalsystemen in bussen van vervoersmaatschappij Keolis. Daar zouden betaalgegevens van passagiers te vinden zijn, maar Keolis ontkent dit. Ondanks dat heeft het bedrijf de kwetsbaarheid wel verholpen.

In de bussen van Keolis hangen betaalautomaten waarmee je een kaartje kunt kopen. Toen de 31-jarige Morssink in de bus zat, ontdekte hij dat op het scherm van de betaalautomaten het logo van TeamViewer te vinden was: software waarmee je op afstand een andere computer kunt bedienen.

Morssink, die in het dagelijks leven werkt als ICT'er, herkende het logo meteen en maakte een foto van het ID-nummer dat erbij stond. Hij voerde het nummer in bij TeamViewer met als wachtwoord '1234'. Tot zijn grote verbazing was hij binnen, waar hij naar eigen zeggen de bankrekeningnummers van passagiers zag. 

700 euro

"Je kunt 't nauwelijks hacken noemen", vertelt Morssink tegen RTL Nieuws. "Zo simpel was het." Hij meldde het beveiligingsprobleem twee weken geleden aan Keolis, dat binnen twee dagen reageerde en hem als bedankje een dagkaart van 6 euro aanbood. Daar ging hij niet mee akkoord, en uiteindelijk ontving hij een beloning van 700 euro. "Daar ben ik lekker met het gezin van op vakantie geweest in Nederland."

Door een cijfertje in het ID-nummer van de Keolis-bussen aan te passen kreeg Morssink toegang tot andere bussen. TeamViewer wordt vaker door bedrijven ingezet om op afstand updates en aanpassingen door te voeren, maar zou normaal gesproken niet actief moeten zijn op systemen die publiekelijk in gebruik zijn. 

Ethisch hacker

Keolis benadrukt in een reactie dat er geen betaalgegevens of andere gegevens van passagiers inzichtelijk waren, omdat deze versleuteld op de betaalapparaten worden opgeslagen. Desgevraagds kan Morssink geen bewijs geven dat hij daadwerkelijk bankrekeningnummers heeft ingezien. 

Keolis heeft de kwetsbaarheid wel samen met de leverancier van de betaalautomaten opgelost, zo bevestigt het bedrijf tegen Omroep Flevoland: "Gelukkig was het nu een ethische hacker." Morssink stelt verder geen andere kwetsbaarheden in de bussen van Keolis te hebben gevonden.

LEES OOK: Veilig je wachtwoorden bewaren: dit zijn de beste apps

`