Beveiliging AsserPas is lek

In de pas zit volgens De Graaf dezelfde chip als in de eerste OV-chipkaart die in 2011 al werd gekraakt. Met een telefoon, een speciale app en een blanco pas is de kaart in een paar handelingen te kopiëren. "Met een handleiding van mij er bij zou iedereen dit moeten kunnen", zegt De Graaf.

De Graaf heeft meer dan tien jaar in de IT gewerkt en zoekt nu een baan als ethisch hacker. Hij kwam het lek op het spoor doordat hij zelf vaak de AsserPas vergat. Hij zou hem liever aan zijn sleutelbos vastmaken en dat is inmiddels gelukt door de kaart naar een zogenaamde key-fob te kopiëren. Ook heeft hij een ring met een chip erin die inmiddels dienst doet als AsserPas.

"Als je kwaad zou willen, dan kan je een pas van iemand anders kopiëren en dan kan je afval wegbrengen, waar je anders voor moet betalen. Of boeken halen bij de bibliotheek en parkeren op iemand anders naam."

Lees meer: Informatiebeveiliging gemeente Assen rammelt nog steeds
Misbruik
De kans dat er op grote schaal misbruik van de kaart wordt gemaakt lijkt klein, maar het gaat volgens De Graaf ook om het principe. "De gemeente Assen had grote plannen met de kaart. Mensen konden bijvoorbeeld ook kortingen krijgen in winkels. Het kan best zijn dat door dit lek dat allemaal niet door gaat."

De Graaf heeft al zijn informatie gebundeld in een onderzoek, dat vorig jaar september aan de gemeente werd overhandigd. Tot nu toe kreeg hij daar maar weinig respons op. "Pas twee weken geleden ben ik daar over gebeld. Terwijl ik inmiddels nog meer heb ontdekt over de pas, dat staat niet in mijn onderzoek."

De gemeente Assen laat weten op de hoogte te zijn van de problemen met de AsserPas. Het onderzoek van De Graaf wordt binnen een paar weken besproken in het college van Assen.