Mobib kaart gehackt (deel 2)

Een paar dagen geleden verspreidde ene MobibAvenger via YouTube een video waarin hij toont hoe hij de Mobib-kaart kraakt. Met een gewone rfid-lezer maakt hij een dump van een Mobib-kaart. Hij schrijft de gegevens vervolgens weg op een lege rfid-kaart en kan er daarna rustig mee rondreizen op het Brusselse openbaar vervoer. Met de hack wil de man wraak nemen op het barslechte privacybeleid van het Brusselse openbaarvervoerbedrijf MIVB.

Dat Mobib de privacy bedreigt, is wel duidelijk. De kaart registreert het volledige komen en gaan van de gebruiker doorheen het hele netwerk van de MIVB. Telkens iemand de kaart gebruikt, worden de reisgegevens opgeslagen in een archief van de MIVB. De vervoersmaatschappij bezit ook een parallel archief waarin de kaartnummers van de MOBIB-kaarten gelinkt worden aan de identiteit van de gebruikers. Op de kaart zelf worden ook telkens de laatste drie verplaatsingen bijgehouden.

MIVB was er al niet gerust in

Wat ons betreft een serieuze bedreiging van de privacy en blijkbaar voelt de MIVB zich zelf ook niet helemaal zuiver op de graat. Dat bleek onder meer een paar maanden geleden, toen de Brusselse vervoermaatschappij afzag van gerechtelijke stappen tegen een gebruiker die de rfid-chip uit zijn Mobib-kaart verwijderd had. Op die manier wilde hij vermijden dat zijn verplaatsingen met het openbaar vervoer geregistreerd worden of nagekeken kunnen worden. De MIVB dagvaardde de man voor de vrederechter, maar zag op het laatste nippertje af van een proces. Volgens de advocaat van de gebruiker omdat de vervoersmaatschappij wilde vermijden dat er een vonnis komt waarin een gebrek aan respect voor de privacy bij de Mobib-kaart aangekaart wordt.

Hack of hoax?

Op verschillende sites is ondertussen te lezen dat de hack een hoax zou zijn. Die kans bestaat, toch zolang MobibAvenger niet al zijn kaarten op tafel legt. Maar het uitlezen van de MOBIB gegevens lijkt in elk geval niet fake te zijn. Beveiligingsonderzoeker Didier Stevens liet tegenover Security.nl weten dat hij op de video verschillende velden kon herkennen die daadwerkelijk op de MOBIB kaart staan. Bovendien is al een tijdje geweten dat het uitlezen van deze velden geen probleem is. Onderzoekers van de UCL hebben dat enkele jaren geleden al uitvoerig aangetoond. Ze plaatsten op hun site ook een MobibExtractor, waarmee iedereen zelf de oefening kon doen. De software is ondertussen van hun website verwijderd, maar nieuwsgierigen kunnen nog altijd hier terecht voor een testritje.

Hack of hoax, eigenlijk doet dat niet zoveel ter zake. Het privacyprobleem blijft immers een realiteit waar veel te weinig mensen zich ongerust over maken en het protest tegen de bedreiging van de privacy is evenmin fake. Teken daarom op zijn minst de petitie, de teller staat op het moment dat we dit posten al boven de 1000 ondertekenaars maar mag gerust nog een pak hoger. Wil je nog meer achtergrondinfo, dan kan je ook terecht bij de Ligue des Droits de l’Homme. Zij voeren al een tijdje campagne tegen Mobib.

Mobib in heel België?

Het protest, de petitie en de campagne zijn des te noodzakelijker omdat de plannen op tafel liggen om de Mobib-kaart te veralgemenen naar alle openbaar vervoer (zeker De Lijn, wellicht ook de NMBS) in België. Een doldwaze gedachte, zoals uit gelijkaardige buitenlandse initiatieven (remember Nederland) blijkt. Een dergelijke grootschalige operatie kan op geen enkele manier waterdichte garanties bieden voor de bescherming van onze persoonlijke gegevens. We hebben met Mobib nu al geen vat op welke gegevens waar worden opgeslagen, noch waar ze voor gebruikt worden. Met de veralgemening ervan zal dat alleen maar erger worden.

Feit is dat er geen enkele noodzaak is om onze persoonlijke gegevens bij te houden. Niet voor het optimaliseren van het openbaar vervoer en al zeker niet voor het rijcomfort van de reiziger, zoals de MIVB nu beweert. Beide zaken kunnen perfect op andere manieren geregeld worden, zonder dat de privacy in het gedrang komt. Voor een beter openbaar vervoer hebben we geen spion in onze broekzak nodig.

PS Extra info over Mobib is ook te vinden via YobiWiki en via de Ligue des Droits de l’Homme.

8 reacties
  1. madmarb 6 jaar ago
  2. Mister Me 6 jaar ago
  3. Didier Stevens 6 jaar ago
  4. Wim 6 jaar ago
  5. Wim 6 jaar ago
  6. Didier Stevens 6 jaar ago
  7. Benjamin V. 6 jaar ago
  8. Patric Sandifort 1 jaar ago