Det danske chip-baserede Rejsekort er baseret på den samme teknologi, som det hollandske OV-chipkaart, der for nylig blev hacket af tyske hackere.
Det betyder, at det danske Rejsekort er yderst sårbart overfor angreb.
"Når den bagvedliggende teknologi er den samme, så er det danske Rejsekort præcis lige så sårbart over for et hacker-angreb, som det hollandske," konstaterer den danske krypteringsekspert Peter Landrock, der er medstifter af og bestyrelsesformand for det århusianske sikkerhedsfirma Cryptomathic.
Den samme chip
Kortene og de overliggende systemer kan ikke sammenlignes, men det kan den computerchip, der er hjertet i de to landes rejsekort.
"Chip-teknologien i det hollandske rejsekort er den samme, som den det danske rejsekort er baseret på," bekræfter Palle Gildbak, systemchef i Rejsekort A/S, overfor Computerworld.
Chippen hedder Mifare og er en RFID-chip, som produceres på licens af NXP, der oprindelig var chip-divisionen i den hollandske elektronik-koncern Phillips, men i dag er en selvstændig virksomhed.
RFID står for Radio Frequency Identification og er en trådløs teknologi, der baserer sig på radiobølger.
Ikke et overraskende angreb
Peter Landrock har sammen med krypterings-eksperten Mike Bond studeret de tyske hackeres metode, og de to konkluderer:
"Hacker-angrebet er ægte, men ikke overraskende for nogen med erfaring i kryptering, da metoden er baseret på linear feedback shift registers."
Spørgsmålet er i hvor høj grad hackere vil være i stand til at udnytte, at de har væltet chippens sikkerhedsmure.
Vil kunne rejse gratis
Ifølge den hollandske avis de Volkskrant, der skrev om de tyske hackere, betyder det, at rejsekort-chippen er hacket, at passagerer vil kunne rejse gratis, og at beskyttelsen af brugernes personlige data ikke kan garanteres.
Peter Landrock afviser ikke, at nogle it-kyndige vil være i stand til at rejse gratis, men han mener på den anden side heller ikke, at der er fare for tab af store værdier:
"Værdierne, der skal beskyttes af kortet, er små, hvis vi kører med tog, bus eller S-tog, og der er mange andre måder at undgå at betale – man kan for eksempel lade være med at købe en billet," siger Peter Landrock.
Nemmere at kopiere klippekort
Krypteringseksperten Landrock er med andre ord usikker på, om angriberne vil være i stand til at udnytte de hackede Rejsekort til at tjene mange penge.
Faktisk vurderer Landrock, at det "nok vil være nemmere at lave kopier af de kendte klippekort end af det chipbaserede Rejsekort."
Når det er sagt, så er det selvfølgelig svært at sætte værdi på den ydmygelse og usikkerhed, der følger med offentliggørelsen af, at en angivelig sikker teknologi ikke er så sikker alligevel.
Denne seneste potentielle lussing til Rejsekortet kommer i halen på forsinkelser, tekniske problemer og pilotforsøg, der langt fra lever op til de oprindelige mål i form af teststrækninger og antal tilknyttede tog og busser.
