Se hvordan rejsekortet bliver hacket

Hollandske forskere har brudt ind i kortet, så det er muligt at køre gratis med bus og tog. Selskabet bag ser det dog ikke som et stort problem.

Rejsekortselskab vil ikke skifte kort nu

Eksperter og rejsekortselskabets egen systemchef siger, at det vil være mest overkommeligt at skifte nu. Alligevel vurderer direktøren, at det er bedst at vente.

Alle rejsekort bruger samme nøgle

Det gør et svagt system endnu svagere, siger forsker. Direktør aner ikke, hvad det betyder for sikkerheden.

Trafikminister undervurderede advarsler

Den daværende transportminister Carina Christensen vurderede i 2008, at hackingen af Mifare Classic-chippen ”i sig selv ikke udgør nogen væsentlig sikkerhedsmæssig risiko for det danske rejsekortsystem”. Forskere og eksperter er uenige.

I 2008 nåede hackingen af det hollandske rejsekort helt til folketinget. I trafikudvalget blev daværende transportminister Carina Christensen spurgt: ”Hvordan vil regeringen sikre sig, at de danske passagerer ikke risikerer at blive hacket og få tømt deres rejsekortkonto, fordi den anvendte RFID teknologi er usikker?"

I svaret tilbage skrev Carina Christensen blandt andet: ”Ifølge DSB og Metroselskabet er det Rejsekort A/S' vurdering, at den i den hollandske sag omtalte hacking i sig selv ikke udgør nogen væsentlig sikkerhedsmæssig risiko for det danske rejsekortsystem.”

Men den vurdering er forkert, mener forskerne bag hackingen.

Seriøse risici ved rejsekortet
Den danske transportminister sagde, at der ikke var nogle, og jeg citerer, væsentlig sikkerhedsrisiko for det danske rejsekortsystem, baseret på jeres opdagelser. Er du enig?

- Nej, jeg er uenig. Der er seriøse risici ved disse kort. Da vi fandt de her sårbarheder, udviklede vi noget software til at få adgang til den beskyttede hukommelse. Den software gjorde vi aldrig offentlig tilgængeligt. Men nu har andre også fundet ud af at udnytte denne software. Og der er mere og mere software tilgængelig på internettet, så du selv kan gøre det derhjemme, siger Bart Jacobs, der er professor i digital sikkerhed ved Radboud Universitet i Holland.

- Hvis folk udnytter det i stor stil, så bryder systemet sammen, konkluderer han.

- Ud fra et sikkerhedsmæssigt synspunkt, så udgør det jo en risiko. Sikkerheden er dårligere, når de fysiske korts koder er brudt. Sådan er det bare, supplerer Ulf Munkedal, der er ekspert i sikkerhed og hackeres metoder.

Ministers svar kommer fra Rejsekortselskabet
Carina Christensens vurdering er ikke hendes egen. Den stammer direkte fra Rejsekortselskabet, kan forsinkelsen.dk dokumentere. Gennem aktindsigt i brevene bag ministerens svar går formuleringen ”ingen væsentlig sikkerhedsrisiko” igen. Både fra Rejsekortselskabets svar til DSB, DSBs svar til Trafikministeriet og fra Carina Christensens til Trafikudvalget.

I Holland har indenrigsminister Guusje ter Horst beordret en udskiftning af Mifare Classic-kortene i det det hollandske rejsekortsystem.

De presseansvarlige for nuværende transportminister Lars Barfoed har gentagne gange afvist en kommentar med henvisning til, at ministeren ikke udtaler sig til journaliststuderende.