Rejsekort-direktør om ny svindelsag: Kort-nøgler blev hacket i 2008

Den form for hack, som en gruppe personer nu står tiltalt for, får en rød lampe til at blinke i backend hos Rejsekort A/S, forklarer direktøren.

Som Ekstra Bladet tidligere i dag har kunnet fortælle, står en gruppe personer tiltalt for at have snydt sig til gratis rejser med anonyme rejsekort. Det er ifølge tiltalen foregået ved at fylde kortet op igen via en mobil-app, når det er ved at være tomt.

Konkret foregår det ved at kopiere data ud fra kortet, når der er penge på. Og så, når det er ved at være tomt, indlæses de oprindelige data fra kopien til kortet.

Om den metode siger administrerende direktør i Rejsekort A/S Bjørn Wahlsten til Version2:

»Det er relativt enkelt: Man kan læse sit rejsekort og kopiere indholdet. Og så er der nogen, der rejser pengene op, og så kopierer de det oprindelige indhold tilbage igen.«

Bjørn Wahlsten fortæller, at der med metoden ikke bliver ændret i de data, der kopieres tilbage på kortet. Og det giver en diskrepans i backend-systemet.

Rejsekortet indeholder et transaktionsnummer, der løbende bliver opdateret og holdt op mod et tilsvarende nummer i rejsekortets backend-system. Når gamle data bliver kopieret tilbage på kortet, så stemmer nummeret ikke længere overens med det opdaterede transaktionsnummer i backend.

En stor rød lampe

»Og så lyser der en stor rød lampe i det øjeblik, det sker. Vi kan se, hvor det sker, og få fat i videomateriale og politianmelde,« siger Bjørn Wahlsten.

Men hvorfor accepterer kortlæseren i en stander overhovedet et rejsekort, hvor transaktionsnummeret på kortet ikke stemmer overens med nummeret i backend, vil nogen måske spørge.

Bjørn Wahlsten forklarer:

»Det gør den, fordi den bare tjekker, om der er penge på kortet. De informationer vi kontrollerer op imod, kan ikke ligge i validatoren.«

Selvom der i den seneste sag har været anvendt anonyme rejsekort i forbindelse med den formodede svindel, så er ejermanden bag et anonymt rejsekort ikke nødvendigvis helt umulig at spore.

Når et betalingskort bliver brugt i forbindelse med at sætte penge ind på det anonyme kort, kan rejsekortet kobles til betalingskortindehaveren.

»Med at anonymt kort bliver man jo også identificeret i forhold til indbetalingen. Det er bare en tåbelig måde at gøre det på, og det vel også derfor, vi kun har haft to sager,« siger Bjørn Wahlsten.

Han fortæller, at et betalingskort knyttet til en indbetaling på et anonymt rejsekort ikke vil stå alene som bevis. I den seneste sag spiller videomateriale i forhold til, hvem der faktisk har anvendt kortene, således en væsentlig rolle.

Ud over den nuværende sag har der været en tidligere episode med tilsvarende snyd ved Hjørring. I den forbindelse bemærker Bjørn Wahlsten, at de to sager skal ses i lyset af, at der er foretaget over 200 millioner rejser med rejsekort.

Kravspecificerede i 2005

De kort, som Rejsekort A/S anvender nu, blev kravspecificeret tilbage i 2005, forklarer Wahlsten. Kortene bygger på en teknologi kaldet MiFare.

Når det overhovedet er muligt at skrive data til kortene for almindelige mennesker via en mobil-app, hænger det sammen med, at de kryptografiske nøgler, der muliggør dette, ikke længere er sikre.

»Nogle af de nøgler, der ligger i MiFare-kortet, blev hacket i 2008. App'en, der kopierer data ind, bruger nøglerne på samme måde som vores læser,« siger Bjørn Wahlsten.

Han fortæller, at der kommer nye og sikrere kort i 2017, de såkaldte DES Fire-kort. De nye kort kunne lukke for det konkrete hul, men alligevel vil de kun blive rullet gradvist ud i forbindelse med, at de nuværende kort bliver udskiftet.

»Hvis vi skulle lukke dette hul her og nu, skulle vi udskifte alle kort og opdatere kontrol-læsere. Det ville være en investering på over 100 millioner kroner. Det synes vi ikke rigtigt står i proportion med problemets faktiske størrelse,« siger Bjørn Wahlsten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (29)

Kommentarer (29)
Bent Jensen

Hvis man tager læseren med i lommen i et fyldt S-Tog, og flyder op vilkårligt på alle tilgængelige kort. Så er det straks svære at dømme nogen for det ?
Det svare lidt til, at nogen lægger s penge i din lomme, og hvis du ikke har helt styr på priser og rejser, så kan det foregå i god tro i noget tid.

Det ville være det som var sket for mig, hvis jeg blev anklaget for noget sådan :-)

Men igen, når det bare er nemt, så kan det ikke være tale om hacke, men højest misbrug. Som at rejse uden lovligt rejsehjemmel. Et nummer som man må formode stiger i antal, efter denne offentliggøre.

Når sikkerhed kun er baseret på håb, tro og "hemmelighed", og resten af betalings systemet også virker meget amatøragtrigt, så er sådan sager noget man må regne med. Advaret om muligheden, er de jo for længst.

Jesper Lund

Når et betalingskort bliver brugt i forbindelse med at sætte penge ind på det anonyme kort, kan rejsekortet kobles til betalingskort-indehaveren.

Det bør ikke overraske nogen, at Rejsekort A/S indsamler disse oplysninger og laver denne kobling, men nu er det officielt bekræftet. Så vidt jeg ved oplyser Rejsekort A/S ikke om det.

Hvis du vil beskytte dit privatliv mod rejsekortselskabets systematisk overvågning, så husk: altid kontant optankning på det anonyme rejsekort. Uden undtagelse. Derudover vil det være en god idé jævnligt at bytte kort med andre for at forstyrre det rejsemønster, som knyttes til nummeret på det anonyme kort.

Peter Jensen

Det vil virkelig være de dummeste kriminelle der bruger den her metode i og med straffen er meget meget hårdere end bare at blive taget uden billet.

Kenneth Graulund

Hvis man tager læseren med i lommen i et fyldt S-Tog, og flyder op vilkårligt på alle tilgængelige kort. Så er det straks svære at dømme nogen for det ?


Som der står i artiklen, så læser du data ud fra kortet efter at have tanket det, rejser det tomt, og skriver så dataen tilbage, så dit tænkte eksempel er ikke muligt.

Det bør ikke overraske nogen, at Rejsekort A/S indsamler disse oplysninger og laver denne kobling, men nu er det officielt bekræftet. Så vidt jeg ved oplyser Rejsekort A/S ikke om det.


Det er rimeligt basalt at gemme data om hvor transaktioner kommer fra, og så vidt jeg ved også lovpligtigt, derfra og så til at kalde det systematisk overvågning, det er eddermandeme et langt træk.

Jesper Lund

Det er rimeligt basalt at gemme data om hvor transaktioner kommer fra, og så vidt jeg ved også lovpligtigt, derfra og så til at kalde det systematisk overvågning, det er eddermandeme et langt træk.

Rejsekort A/S laver systematisk overvågning af dine rejsemønstre, uanset hvilket kort du har. Det er selskabets "løsning" på den elendige sikkerhed. Hvis du fejler i din opsec og tanker op med betalingskort på et Rejsekort Anonymt (navn er falsk markedsføring), kan Rejsekort A/S knytte et betalingskort til denne overvågning, som derved kommer tættere på dig. Det var min pointe.

Som sagt: at betale kontakt ved tank-op er ikke tilstrækkeligt. Du bør også med jævne mellemrum swappe kort med andre for at forstyrre de rejsemønstre og den profilering, som Rejsekort A/S opbygger om dig i selskabets overvågning.

Kenneth Graulund

Som sagt: at betale kontakt ved tank-op er ikke tilstrækkeligt. Du bør også med jævne mellemrum swappe kort med andre for at forstyrre de rejsemønstre og den profilering, som Rejsekort A/S opbygger om dig i selskabets overvågning.


Det ville klæde debatten ikke at præsentere disse sølvpapirshat konspirationsteorier som et bevist faktum.
Har og bruger rejsekortet A/S et overordnet rejsemønster som deles med trafikselskaberne i upersonhenførbar tilstand?, absolut, hvordan skal vi ellers udvikle den offentlige trafik på troværdige data ?.

Jeg tror de eneste der er interesseret i dit personlige rejsemønster er reklame firmaer, og evt. politiet... der er mig bekendt ikke noget samarbejde imellem Rejsekortet og reklamebranchen, og mig bekendt har Politiet ikke bedt om at få udleveret materiale fra Rejsekortet, med undtagelse af sager hvor det handler om misbrug af rejsekort.

Jeg tror du overvurderer statens interesse i hvad du foretager dig Jesper.

Jesper Lund

Det ville klæde debatten ikke at præsentere disse sølvpapirshat konspirationsteorier som et bevist faktum.

Lad mig citere fra Kammeradvokatens rapport om rejsekortselskabets behandling af personoplysninger
http://www.trm.dk/da/publikationer/2016/kammeradvokatens-undersoegelse-a...

Citatet nedenfor er fra Kammeradvokatens anbefalinger, hvis du ikke vil læse det hele, som jeg har gjort for at skrive denne artikel om rejsekortselskabets overvågning
https://edri.org/danish-ticketing-system-a-threat-to-privacy/

1) Det bør efter min opfattelse fremgå af samtykkeerklæringen, at de foretagne transaktioner på rejsekortet (dvs. rejsemønsteret) overvåges med det formål at opdage og forhindre snyd og bedrageri. Samtykkeerklæringen bør endvidere indeholde oplysning om opbevaringsperioden for oplysningerne om kundernes rejsemønster (transaktionsoplysningerne).

Sølvpapirhat? Det må så være hos Kammeradvokaten.

Men det bliver spændende at se hvor mange undrende mennesker der vil henvende sig til rejsekortselskabets kundeservice og udbede sig en forklaring, når denne samtykkeerklæring implementeres.

Hvis du bruger rejsekortselskabets glemt-check-ud app er der yderligere overvågning for at modvirke snyd. Skal jeg grave dokumentationen frem, eller tror du mig nu?

Jesper Lund

Jeg tror de eneste der er interesseret i dit personlige rejsemønster er reklame firmaer, og evt. politiet... der er mig bekendt ikke noget samarbejde imellem Rejsekortet og reklamebranchen, og mig bekendt har Politiet ikke bedt om at få udleveret materiale fra Rejsekortet, med undtagelse af sager hvor det handler om misbrug af rejsekort.

Laver Rejsekort A/S en troværdig transparens statistik for hvor ofte de udleverer data til politiet, Udbetaling Danmark, Skat, etc etc? Altså svarende til de statistikker, som Facebook, Google, Microsoft, Twitter, Dropbox, m.fl. laver.

Jeg ved at politiet i London i betydeligt omfang gør brug af data fra Oyster kortet
https://en.wikipedia.org/wiki/Oyster_card#Privacy
og det danske rejsekort har formentlig færre anonyme kort end Oyster, hvilket potentielt kan gøre data mere værdifulde, for eksempel til undersøgelse af hvem har været i et bestemt område, eller hvem der deltog i den demonstration, som udgik fra Nørrebro Station. Ja, registrering af demonstrationsdeltagere er en ting i flere demokratiske lande.

De dage er forbi, hvor politiet kun indsamlede oplysninger om konkrete mistænke til brug for deres efterforskning. I dag har vi f.eks. ANPG, hvor danske bilister masseovervåges på vejene, uanset om det har gjort noget kriminelt eller ej. Oplysningerne gemmes i databaser, og politiet laver data-mining analyser for at identificere ukendte kriminelle. Typisk med høj falsk-positiv sandsynlighed, og dermed stærkt indgribende for de borgere, som det går ud over.

De vide rammer for indsamling af ANPG oplysninger, og at data mining ikke er udelukket, fremgår af høringsnotatet om ANPG bekendtgørelsen (senere kom en vejledning til ANPG, som fjernede nogle af begrænsninger i bekendtgørelsen, f.eks. kunne et "geografisk afgrænset område" nu godt være hele landet; I kid you not). IT-Politisk Forening foreslog i høringssvaret, at data mining ikke skulle være tilladt, men den begrænsning ønskede Justitsministeriet ikke.

Anders Jøndrup

Hvis man tager læseren med i lommen i et fyldt S-Tog, og flyder op vilkårligt på alle tilgængelige kort. Så er det straks svære at dømme nogen for det ?

Det ville næppe være en klog strategi. Hvis et kort kopiers mange gange, bliver det hurtigt opdaget af Rejsekort, og så kommer kortet på spærrelisten, hvorved kortet ikke kan tjekke ind. Herefter kan hverken de originale eller de kopierede kort bruges, og den kriminelle skal ud og købe sig et nyt anonymt kort.

Mvh. Anders

Baldur Norddahl

Det ville næppe være en klog strategi

Ikke at jeg forstår at man vil gøre sig til forbryder for så få penge... men hvordan vil de stoppe en person som går ned igennem S-toget indtil at hans scanner finder en person med et anonymt rejsekort med en tilstrækkelig mængde penge. Herefter kan han elektronisk bytte om på hans eget kort og offerets kort.

Bent Jensen

Hvis Rejsekortet have lukket kortet straks, ville misbruget ikke have været så stor.
Som at en civil politibil ikke kan følge efter en personbil, der køre for hurtigt igennem hele landet. Også give føreren 50 børder.

Så snakker vi jo kun om misbrug for under 200-300 kr per person. Et misbrug der blev meget større fordi Rejsekortet ikke har handlet. Desuden er der brugt mange resurser på denne lille sag, til under 500,- kr. per. person. Som de selv skriver, de kunne nemt have lukket kortet, da de rødelamer blinket. Det burde de så have gjort, også lade den sag ligge.

I Stedet virker det, som de gerne ville have en sag, til skræk og advarsel, men det er jo lige som med bruge af politiagenter, ikke lovligt at lave sine "egne sager". Desuden hvis de som de selv skriver at misbruget er lavt, hvad skulle alt denne iver for at finde dem, så være godt for.

På sigt vil misbruget, nu det bliver kendt hvor let det er, nok snare stige, og snak om hack kan være svært, når det er dem selv som har lavet et system som er så let at misbruge, noget de var advaret mod allerede for starten. Så hvis eller de "fanget" personer, får fat i en god advokat, og de føre sagen til landsretten, kan jeg ikke se de skal dømmes for andet, end ran af 200-300 kr. Selv om Rejsekortet spiller på alle tangenter med historien om de fremmede, som burde udvises og have frataget borgerskabet, da de sådan udnytter og misbruger systemet.

Steen Thomassen

Så hvis eller de "fanget" personer, får fat i en god advokat, og de føre sagen til landsretten, kan jeg ikke se de skal dømmes for andet, end ran af 200-300 kr


Beløbet betyder ikke noget for straffen. Den er handlingen dokumentfalsk man bliver straffet for. Det jeg kan ser på sager med buskort, så giver det 30-40 dags fængsel betinget. Det man gjort det på flere kort i den nye sag gør noget for straffen ved jeg ikke. Man får en regning på sagsomkostninger - det koster også en hel del.

Kenneth Graulund

Citatet nedenfor er fra Kammeradvokatens anbefalinger, hvis du ikke vil læse det hele, som jeg har gjort for at skrive denne artikel om rejsekortselskabets overvågning


Åh nej, Rejsekortet A/S holder deres data i deres backend systemer op imod de transaktions detaljer der kommer ind fra rejsekort standerne, hvad skal vi dog gøre ?!?!
Du kalder det overvågning, jeg kalder det common sense... hvordan skal man ellers opdage snyd ?

Jeg ved at politiet i London i betydeligt omfang gør brug af data fra Oyster kortet

Lad os tage diskussionen når/hvis politiet begynder at anvende rejsekort data i ikke-rejsekort relaterede sager, jeg tvivler på det sker, men det er da ikke umuligt... lige pt. er det dog et tænkt problem.

Morten Jensen

Lad os tage diskussionen når/hvis politiet begynder at anvende rejsekort data i ikke-rejsekort relaterede sager, jeg tvivler på det sker, men det er da ikke umuligt... lige pt. er det dog et tænkt problem.

Hvad ved du egentligt om det? Du ved da ikke hvor meget panserne går og snager i dine sager. Der falder bødestraf og diciplinærstraffe af til pansere HVERT år for at misbruge deres position. Typisk får de en bødestraf under 1000kr, for noget der ville få eks. en sygeplejerske fyret. Dette kan læses på hjemmesiden for det såkaldt "uafhængige" politiklagemyndighed - såkaldt fordi mere eller mindre alle ansatte har en fortid hos anklagemyndigheden eller politiet :)

Det var da verdens mest skråsikre påstand at komme med - og så endda efter Snowden.

Kenneth Graulund

Danmark er ikke USA, vi har ikke hemmelige domstole som udsteder hemmelige ordrer.
Dine anklager mod Politiklagemyndigheden er så dejlig forfejlede, for hvis du vidste bare en anelse om hvad du snakkede om, så ville du vide at Politklagemyndigheden ikke har kompetence til at pålægge straf eller bøde, i strafbare forhold sendes resultatet af efterforskningen til statsadvokaten, og i adfærdsmæssige sager kan der udtales kritik af politifolk, det er herefter op til rigspolitiet at starte eventuelle diciplinærsager. Du kan jo evt. som du selv nævner gå ind på hjemmesiden og læse, næste gang vil jeg anbefale du gør det INDEN du gør dig selv til grin.

Jesper Frimann

Danmark er ikke USA, vi har ikke hemmelige domstole som udsteder hemmelige ordrer.

Nej, I Danmark behøver man tit ikke en domstol ind over. I Danmark kan man præventivt anholde folk. Man kan indføre visitations zoner, hvor folk kan visiteres uden mistanke. Og brevhemligheden er stort set sat ud af kraft.

Man kan jo altid se hvad en Ekspert mener om dette:

https://www.youtube.com/watch?v=1cXa2mwayMk

// Jesper

Michael Weber
Jacob Gorm Hansen

Det har de vidst (det blev paapeget for mange aar siden, men de tog det ikke alvorligt), og de har rullet systemet ud alligevel, baseret paa foraeldet teknologi, som nu skal opgraderes for 100 mio kr, en regning der paa den ene eller anden maade ender hos brugerne. Det var dem der burde have 40 dage betinget.

Michael Thomsen

Bjørn Wahlsten påstår jf artiklen, at kortlæseren ikke kan checke transaktionsnummeret. Nuvel. Ok, det er vel også urimeligt, at alle standerne skal have online adgang eller en database over alle kort og senest kendte transaktionsnummer.

Men man må vel gå ud fra, at standerne sender transaktionsnumrene til backend mindst en gang i døgnet. Når det sker hvorfor checker man så ikke bare om transaktionsnummeret er rullet tilbage og i så fald spærre kortet indtil kunden ringer ind med en god forklaring (dem burde der ikke være mange af)?

Det skulle vel ikke være nødvendigt med kreditkort- og videoovervågning samt politi-indblanding for noget så simpelt.

Steen Thomassen

Når det sker hvorfor checker man så ikke bare om transaktionsnummeret er rullet tilbage og i så fald spærre kortet indtil kunden ringer ind med en god forklaring (dem burde der ikke være mange af)?


Det kan de allerede nu - det vil max. tage 48 timer at opdage, spærre et kort og udsende det spærring til alle steder, hvis det kun er brugt i en bus.

Det skulle vel ikke være nødvendigt med kreditkort- og videoovervågning samt politi-indblanding for noget så simpelt.


Det var en aftale med Politiet at de forsatte. Det står i den første artikel om sagen. Og politiet skal indblandes i den slags sager om dokumentfalsk. Den slags sager er ikke ligegyldige.

Bent Jensen

Det var en aftale med Politiet at de forsatte. Det står i den første artikel om sagen. Og politiet skal indblandes i den slags sager om dokumentfalsk. Den slags sager er ikke ligegyldige.


SÅ de er blevet mere kriminelle på grund af det, en god advokat burde kunne få dem dømt kun for det som de misbrugte for i de første 24 timer.
Dette beløb er så under 500,- kr, så vi begynder at snakke små ting,, hacking og forfalskning er måske også lidt svært at få dem dømt for. Hvis det nu kun er en af dem som har lavet dette. De har måske bare "købt" kortet, som de troet var hugget.
Så hæleri for et par 100,- kr. Svaren til at du drikker nogle af de øl, som en af dine venner har stjålet i døgneren.

Steen Thomassen

@Bent Jensen
Dokumentfalsk er ikke beløb afgørende - det er handlingen. Og jo flere gange, det er blevet misbrugt - også efter det er opdaget - så må dem har brugt vide det. Og så står anklageren bedre. Men det er op til retten at afgøre det.

Det er svært at sammenligne det med tyveri og hæleri. Tankegangen er meget forskellig.

Bent Jensen

Ikke hvis de har købt eller byttet et fyldt kort, til en billigere penge.
Så er det kun den ene som har fyldt kortet op, som har foretaget sig noget der kan ligne et hack.

Som i gamle dage med pirat kort til satellit. Der er stor forskel på at købe og bruge et, eller at lave dem selv og sælge dem.
Eller hvor står man i dag, hvis man får kort til flere stuer, men i stedet deler med 2-3 naboer. Eller hvis man bruger de satellit modtager, som kan dele kort via Internettet.

Nå skidt pyt med de sidste par ting, TV er snart helt dødt. og de fleste kanaler på satellit, kan købes billiger via streaming.

Hvis andre er træt af at betale for gamle serie, og dårligt reality TV.
www.dplay.dk

Morten Jensen

Dine anklager mod Politiklagemyndigheden er så dejlig forfejlede, for hvis du vidste bare en anelse om hvad du snakkede om, så ville du vide at Politklagemyndigheden ikke har kompetence til at pålægge straf eller bøde, i strafbare forhold sendes resultatet af efterforskningen til statsadvokaten, og i adfærdsmæssige sager kan der udtales kritik af politifolk, det er herefter op til rigspolitiet at starte eventuelle diciplinærsager. Du kan jo evt. som du selv nævner gå ind på hjemmesiden og læse, næste gang vil jeg anbefale du gør det INDEN du gør dig selv til grin.

Læs den selv mand!! Prøv f.eks. at læs deres årsberetninger. F.eks. denne fra 2015:
http://www.politiklagemyndigheden.dk/media/15820/a_rsberetning_2015_netv...

Læs især side 22-28, der beskriver episoder hvor politiet har opført sig grimt eller bare ulovligt. Tænk lidt over hvem der beskriver hvem og overvej så om det beskrives neutralt eller farvet.
Prøv så lige at se hvor mange sager der er, hvor betjenten f.eks. har været voldelig, og prøv så at se hvor ofte straffen er at "politiklagemyndigheden beklager naturligvis denne opførsel." eller at "sagen er afgjort disciplinært med en advarsel." - og THAT'S IT! Se også sager om datamisbrug i årsberetningerne. Det er dem der bliver opdaget og indbragt!

Det er da muligt at mekanikken bagved er som du beskriver - det synes jeg sådan bare ikke har noget med sagen at gøre.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017