Betaalsysteem Keolis-bussen slecht beveiligd met TeamViewer en wachtwoord ‘1234’

datalek, Cybercrime, hack, cyberaanval, dark web

In de bussen van OV-maatschappij Keolis is het mogelijk om een kaartje te kopen. Het systeem waarmee dat kan bleek echter eenvoudig toegankelijk. Het programma op de betaalautomaten was namelijk beveiligd met het wachtwoord ‘1234’. Dat heeft ICT’er Melvin Morssink ontdekt, meldt Omroep Flevoland.

Morssink zat zelf in de bus toen hij zijn ontdekking deed. Op de schermen van de betaalautomaat zie je normaal gesproken alleen het betaalmenu. Maar de ICT’er zag ook het logo van de software TeamViewer. Dat is een programma waarmee je vanaf een ander apparaat op het scherm van een andere computer mee kan kijken, maar deze ook kan bedienen.

Op het scherm was ook een code te zien waarmee Morssink op zijn eigen laptop in kon loggen. Eenmaal thuis probeerde hij dat en gebruikte hij het wachtwoord ‘1234’. Daarmee bleek hij het systeem in te kunnen komen. Naar eigen zeggen had hij toen de volledige controle over het betaalsysteem. Ook kon hij de betaalgegevens zien.

Versleuteling

Een woordvoerder van Keolis stelt dat Morssink inderdaad in het betaalsysteem kon, maar dat alle gegevens die hij in kon zien door versleuteling onleesbaar waren. De OV-maatschappij gaf Morssink overigens 700 euro als bedankje, nadat hij het lek bij hen meldde.

Het wachtwoord voor de dienst is inmiddels aangepast.