Mobib kaart gehackt (deel 2)

Een paar dagen geleden verspreidde ene MobibAvenger via YouTube een video waarin hij toont hoe hij de Mobib-kaart kraakt. Met een gewone rfid-lezer maakt hij een dump van een Mobib-kaart. Hij schrijft de gegevens vervolgens weg op een lege rfid-kaart en kan er daarna rustig mee rondreizen op het Brusselse openbaar vervoer. Met de hack wil de man wraak nemen op het barslechte privacybeleid van het Brusselse openbaarvervoerbedrijf MIVB.

Dat Mobib de privacy bedreigt, is wel duidelijk. De kaart registreert het volledige komen en gaan van de gebruiker doorheen het hele netwerk van de MIVB. Telkens iemand de kaart gebruikt, worden de reisgegevens opgeslagen in een archief van de MIVB. De vervoersmaatschappij bezit ook een parallel archief waarin de kaartnummers van de MOBIB-kaarten gelinkt worden aan de identiteit van de gebruikers. Op de kaart zelf worden ook telkens de laatste drie verplaatsingen bijgehouden.

MIVB was er al niet gerust in

Wat ons betreft een serieuze bedreiging van de privacy en blijkbaar voelt de MIVB zich zelf ook niet helemaal zuiver op de graat. Dat bleek onder meer een paar maanden geleden, toen de Brusselse vervoermaatschappij afzag van gerechtelijke stappen tegen een gebruiker die de rfid-chip uit zijn Mobib-kaart verwijderd had. Op die manier wilde hij vermijden dat zijn verplaatsingen met het openbaar vervoer geregistreerd worden of nagekeken kunnen worden. De MIVB dagvaardde de man voor de vrederechter, maar zag op het laatste nippertje af van een proces. Volgens de advocaat van de gebruiker omdat de vervoersmaatschappij wilde vermijden dat er een vonnis komt waarin een gebrek aan respect voor de privacy bij de Mobib-kaart aangekaart wordt.

Hack of hoax?

Op verschillende sites is ondertussen te lezen dat de hack een hoax zou zijn. Die kans bestaat, toch zolang MobibAvenger niet al zijn kaarten op tafel legt. Maar het uitlezen van de MOBIB gegevens lijkt in elk geval niet fake te zijn. Beveiligingsonderzoeker Didier Stevens liet tegenover Security.nl weten dat hij op de video verschillende velden kon herkennen die daadwerkelijk op de MOBIB kaart staan. Bovendien is al een tijdje geweten dat het uitlezen van deze velden geen probleem is. Onderzoekers van de UCL hebben dat enkele jaren geleden al uitvoerig aangetoond. Ze plaatsten op hun site ook een MobibExtractor, waarmee iedereen zelf de oefening kon doen. De software is ondertussen van hun website verwijderd, maar nieuwsgierigen kunnen nog altijd hier terecht voor een testritje.

Hack of hoax, eigenlijk doet dat niet zoveel ter zake. Het privacyprobleem blijft immers een realiteit waar veel te weinig mensen zich ongerust over maken en het protest tegen de bedreiging van de privacy is evenmin fake. Teken daarom op zijn minst de petitie, de teller staat op het moment dat we dit posten al boven de 1000 ondertekenaars maar mag gerust nog een pak hoger. Wil je nog meer achtergrondinfo, dan kan je ook terecht bij de Ligue des Droits de l’Homme. Zij voeren al een tijdje campagne tegen Mobib.

Mobib in heel België?

Het protest, de petitie en de campagne zijn des te noodzakelijker omdat de plannen op tafel liggen om de Mobib-kaart te veralgemenen naar alle openbaar vervoer (zeker De Lijn, wellicht ook de NMBS) in België. Een doldwaze gedachte, zoals uit gelijkaardige buitenlandse initiatieven (remember Nederland) blijkt. Een dergelijke grootschalige operatie kan op geen enkele manier waterdichte garanties bieden voor de bescherming van onze persoonlijke gegevens. We hebben met Mobib nu al geen vat op welke gegevens waar worden opgeslagen, noch waar ze voor gebruikt worden. Met de veralgemening ervan zal dat alleen maar erger worden.

Feit is dat er geen enkele noodzaak is om onze persoonlijke gegevens bij te houden. Niet voor het optimaliseren van het openbaar vervoer en al zeker niet voor het rijcomfort van de reiziger, zoals de MIVB nu beweert. Beide zaken kunnen perfect op andere manieren geregeld worden, zonder dat de privacy in het gedrang komt. Voor een beter openbaar vervoer hebben we geen spion in onze broekzak nodig.

PS Extra info over Mobib is ook te vinden via YobiWiki en via de Ligue des Droits de l’Homme.

8 REACTIES

  1. Misschien is het geen slecht idee om toch eens ergens een deftige petitie te beginnen. Dat franstalig geval op lapetition.be lijkt maar weinig volk te lokken. En als De Lijn & NMBS ook plannen in die richting hebben lijkt een twee/drietalige versie mij geen overbodige luxe.

  2. Right one. Kill Mobib !!!!
    En die petitie, mister madmarb, vertalen en terug op het internet gooien en rondsturen en laten tekenen. Doen, mister Madmarb! Doen!
    Kill Mobib !!!!!!!!!!!!!!!!!!!!

  3. Inderdaad een mooie verwijzing naar de Navigo Pass in Frankrijk. JM Manach heeft daar op zijn blog een paar interessante stukken over geschreven. Zeer lezenswaardig. Circulez, vous êtes fichés.

    Zijn punt geldt even goed voor Mobib. Eén dat elke reiziger het recht heeft om anoniem te reizen, wat met Calypso/Mobib niet langer mogelijk is. Twee dat de gebrekkige beveiliging ervoor zorgt dat iedereen die dat zou willen, met een simpele lezer de persoonlijke gegevens kan downloaden. En drie (mijn punt) dat er geen enkel valabel argument is om persoonlijke gegevens én reisgegevens in een databank bij te houden (daar vermoed ik commerciële bijbedoelingen).

    Dat is het waar de hack om draait: een zinloze databank, een lekke beveiliging en het recht op anonimiteit dat met de voeten getreden wordt.

    Overigens blijf ik wel nieuwsgierig of de hack nu echt is of niet. Het doet niet ter zake voor de discussie, maar toch … gewoon nieuwsgierig.

  4. @ Madmarb: ik zou het iets subtieler uitdrukken dan Mister Me maar hij heeft wel gelijk. Check eens met de initiatiefnemers van de petitie. Ze zullen wellicht niet ongelukkig zijn met een NL versie. Verder suggesties om die te verspreiden? Meer dan 1000 leek me niet zo slecht als je weet dat vooral brusselaars getekend hebben. Maar meer (en vooral breder) zou een goeie zaak zijn. Inderdaad, doen! Wij doen alleszins mee.

  5. @Wim Wat mij vooral opvalt is dat het genereren en schrijven van het nieuwe contract zo snel gaat. Ofwel fake ofwel heeft deze avenger de nodige cryptographische sleutels bemagtigd.

  6. @didier Lezen is inderdaad geen probleem. Dat hebben UCL onderzoekers al in 2009 bewezen. Navigo hack heeft ook een tijdje geleden al gecirculeerd. Dus het kan.
    Maar ik sluit ook niet uit dat hack opgezet spel is om privacy probleem nog eens onder de aandacht te brengen. In beide gevallen: geslaagde zet. Meer van dit.

  7. Ondertss, 4 jaar later, nu met effectief de mobibkaart verplicht, kan ik u beamen dat dit gaat al altijd heeft gegaan en dat nog altijd doet… Je kopieert gewoon anderen hun mobib kaart terwijl ze voorbij lopen met iets soortgelijks als dit:

    http://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/

    En dan moet je enkel nog je resultaat terug op je RFID zendertje schrijven… Niemand is ook maar iets wijzer en je geraakt gewoon door de poortjes op de luchthaven als je de juiste kaart inleest… ;)

    Bij den NMBS werken alleen ma achterlijke mensen, zo blijkt… ;p Niet alleen hun heel manier van werken sucked, ook de ‘nieuwe’ technologie die ze invoeren is puur scriptkiddie madness! Everything is hackable and nobody’s watching!

    Mss moet ik eens les beginnen geven over hoe je zoiets doet… :D

Comments are closed.