Kaartautomaten Keolis gehackt: "Thuis kon ik in zeven bussen kijken"

ALMERE • Di 14 augustus 2018 | 20:57 • Dinsdag 14 augustus 2018 | 20:57

Het is Almeerder Melvin Morssink gelukt om de kaartautomaten in de bussen van Keolis te hacken. Hij kwam er tijdens een busrit achter dat het gemakkelijk was om in het computersysteem in te breken. Naar eigen zeggen trof hij daar de betaalgegevens van passagiers aan. Volgens Keolis zat daar geen persoonlijke informatie bij. 

In de bussen van Keolis hangen rode automaten waarbij je met een pinpas een kaartje kunt kopen. Op het scherm is normaal gesproken alleen het betaalmenu te zien. Morssink trof op het scherm ook het logo aan van TeamViewer. Dat is software waarmee ict-ers de automaat vanaf een andere computer kunnen bedienen. 

Melvin Morssink bekeek het paneel en zag op het scherm een code waarmee hij vanaf zijn eigen laptop kon inloggen. Als wachtwoord typte hij '1234' in en kwam hij het systeem binnen. "Thuis kon ik in een stuk of zeven bussen kijken." Morssink zegt dat hij de volledige controle over het betaalsysteem had. 

"Thuis kon ik in een stuk of zeven bussen kijken."

— Melvin Morssink, ethische hacker

De hacker is verbaasd dat het hacken zo gemakkelijk ging. "Het is super slecht van Keolis. Het was zo simpel om het ID van de bus te vinden, in mijn laptop in te voeren en in te loggen op de bus." 

Morssink heeft zijn bevindingen gedeeld met de busmaatschappij. ''Gelukkig was het nu een ethische hacker.'' zegt Emile Broersma van Keolis. Volgens de busmaatschappij zijn er geen gevoelige gegevens op straat gekomen en is er geen schade veroorzaakt. De leverancier van de betaalautomaten heeft inmiddels actie ondernomen. De hacker kon door het lek onder meer de automaten uitschakelen. 

"Gelukkig was het nu een ethische hacker."

— Emile Broersma,busmaatschappij Keolis

Als bedankje voor het aangeven van het lek kreeg Melvin Morssink een beloning van 700 euro. De Almeerse hacker heeft inmiddels geen lekken meer gevonden bij de busmaatschappij. Het liefst zou Morssink bij Keolis gaan werken om eventuele andere datalekken op te sporen. 

WhatsApp ons!
Heb jij een tip of opmerking? Stuur ons een bericht op 06 - 52 52 4891 of stuur een mail: rtv@omroepflevoland.nl!

Deel artikel

reacties (9)

  • Marieke

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Zonet het bericht op tv gezien. Wat mij tegenvaslt van deze op zich correcte melding is dat hij niet tevreden is met het bedrag dat hij ontvangen heeft. Schaam je diep.

    reageer
  • Bart Stam

      Do 16 augustus 2018 Donderdag 16 augustus 2018

    Hij krijgt eerst een dagkaart ter waarde van maar liefst ZES euro aangeboden. Daar is ie niet mee akkoord gegaan. Eerlijk gezegd: dat is ook wel heel krenterig voor de ontdekking van een best ernstig lek.

  • Faerie

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Oh laat er alsjeblieft snel iemand gaan werken bij Keolis die snapt hoe het moet (officieel hacker of geen hacker), het lukt ze daar maar niet om de hard- en software goed te krijgen. Je kan ook niet overstappen met een 10 rittenkaart bijvoorbeeld, dat hoort gewoon te kunnen, maar de automaten pakken gewoon een nieuwe strip. En zo zijn er nog wel meer dingen die niet lekker lopen. Het wordt tijd dat er een kundig iemand naar kijkt, want de huidige medewerkers bij Keolis hebben sinds het begin nog steeds weinig weten op te lossen.

    reageer
  • Faerie

      Do 16 augustus 2018 Donderdag 16 augustus 2018

    Sjors, ik krijg al sinds begin januari zeer correct antwoord van de manager klantenservice die zegt dat ze ermee bezig zijn. Het lukt ze alleen niet. Ik begreep dat ze met 2 soorten software werken o.a. Ik vind het al een wonder dat ze uiteindelijk na maanden ervoor hebben gezorgd dat je een product kan ophalen IN de bus. Nu nog dat overstappen en zorgen dat je overal kan zien hoeveel ritten je nog hebt. Het was mij gewoon van meet af aan duidelijk dat Keolis alleen maar heeft gewonnen omdat ze qua prijs en pakket (Ze zouden oa de veiligheid en het zwartrijden beter aan kunnen pakken dan connexxion) aan grootspraak deden. De gemeente had beter met connexxion verder kunnen gaan die alle systemen en routes voor deze stad al op orde had en na 20 jaar een reëel beeld had van deze stad en zijn pappenheimers. Dan hadden ze eindelijk ook kunnen investeren in nieuwe bussen en het tegengaan van zwartrijden. Want Keolis boekt daar helemaal geen successen op. Iets waar ze wel van tevoren over opschepten.

  • SJORS

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Faerie, hier zelfde ervaring . Het lijkt dat de gemeente e.e.a. gaat oppakken. En de klachten op een andere wijze gaat inbrengen. (Waarschijnlijk krijg jij ook steeds te horen dat ze er nog nooit van hebben gehoord )

  • Pieter

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Wellicht volgende keer netjes een Disclosure melding maken IPV omroep Flevoland te bellen.

    Overigens, de beste man is goed virussen verwijderen voor weinig, bied zich daar ook voor aan op Facebook. Maar een hacker?
    Als je werkeloos bent zou ik graag ook ergens willen werken

    reageer
  • Jessie

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Wachtwoorden raden heeft niks met hacken te maken, ik kan bij de meeste mensen hun router/media box inloggen, omdat ze default of voorspelbaar password gebruiken.

    reageer
  • Thomas

      Do 16 augustus 2018 Donderdag 16 augustus 2018

    Ik gebruik zelf welkom123, daar gaat echt nooit iemand achter komen. Wat kan er mogelijkerwijs fout gaan?

  • Alexandros

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Er wordt echt gewerkt met de Franse slag bij de ICT-afdeling.

    reageer
  • pieter de oude

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Er wordt zo laag ingeschreven op zo'n concessie dat er op
    iedere cent moet worden bezuinigd, komt natuurlijk ook
    door de vele onzinnige eisen die de opdrachtgevers stellen.

  • laat alle reacties zien
  • Henk

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Hacken is wat anders dan een TV code achterhalen.. leuk voor die jongen maar als hacker moet je toch wat andere kennis in huis hebben

    reageer
  • Klaas

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Neem aan dat dit datalek wel even wordt gemeld bij de autoriteit. Niet melden is strafbaar keolis.

    reageer
  • Ikke

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    We zullen u eens melden

  • Klaas-Jan

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Dit is GEEN datalek. Er zijn geen persoonsgegevens gevonden, dat wordt ook in dit filmpje uitgelegd!

  • Foxnl

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Alleen als het daadwerkelijk een data,en is met persoonlijke gegevens.

  • Eric Redegeld

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Ben benieuwd of Keolis ondertussen ook de wifi voorwaarden heeft aangepast. Lees gemaakt want die moet je wel accepteren maar is niet in te zien. Heb ik al vanaf start in Almere meerdere malen via Twitter aangegeven en nog steeds niet ingevoerd.

    reageer
  • Henk

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Ze adverteren al vanaf 10 dec met wifi en maar 2 keer meegemaakt dat het werkt !

    Waardeloos dus

  • A.

      Di 14 augustus 2018 Dinsdag 14 augustus 2018

    Dit heeft werkelijk waar niks met hacken te maken, maar alles met heel slecht en nonchalant ontwikkelen van de developers. TeamViewer wordt veel gebruikt, maar nooit in een live omgeving. Goed opgelet van de beste jongen, maar als dit soort belachelijke fouten al worden gemaakt vertrouw ik de software niet hoor

    reageer
  • Willemsen

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Niet zozeer de ontwikkelaars doch de gehele organisatie daaromheen is verwijtbaar. Zal me niet verbazen dat bij Keolis een grote organisatorische bende is rond de ict.

  • Chris

      Wo 15 augustus 2018 Woensdag 15 augustus 2018

    Ik heb toch op meerdere, wel goed geregelde, omgevingen Teamviewer gebruikt zien worden en dat gaat prima. Maar dan wel even met een aangepast wachtwoord

Laat een reactie achter

Je reageert op

Je rapporteert