Nieuwe Mifare Classic-hack compromitteerd miljoenen passen

De chip die recent door de Radboud Universiteit is gekraakt, blijkt in veel van de toegangspassen van de overheid te zijn verwerkt.

Uit de brief "Veel chips in (toegangs)passen te kraken" die de minister van Binnenlandse Zaken aan de Tweede Kamer stuurde:

De Radboud Universiteit Nijmegen heeft mij zeer recent laten weten dat binnen haar onderzoeksinstituut voor informatica en informatiekunde in het kader van beveiligingsonderzoek naar de OV-chipkaart een methode is ontwikkeld waarmee een groot aantal chipkaarten relatief eenvoudig te kraken en te dupliceren is. Het gaat hier om alle (toegangs-)passen waarin de zogenaamde Mifare Classic-chip is verwerkt zonder additionele beveiligingsmaatregelen (zoals bij de OV-chipkaart wel het geval is). Deze chip wordt gebruikt in naar schatting 2 miljoen toegangspassen in Nederland en 1 miljard passen wereldwijd. In diverse Rijksgebouwen, gebouwen van andere overheden en overheidsinstanties en in de private sector wordt in het toegangscontrolesysteem gebruik gemaakt van deze chiptechnologie. De AIVD heeft op mijn verzoek direct na dit bericht bij de Radboud Universiteit vastgesteld dat de methode, zoals gedemonstreerd, werkt. De AIVD zal in mijn opdracht nader onderzoek doen. Er moet vanuit worden gegaan dat vanaf het moment dat de details van het onderzoek van de universiteit openbaar worden, de mogelijkheid tot misbruik zodanig laagdrempelig is, dat aanvullende maatregelen nodig zijn om het beveiligingsniveau te handhaven. De invoering van de Rijkspas – waarin een andere technologie toegepast zal worden – was voorzien voor het vierde kwartaal van dit jaar. Bekeken wordt of dit traject nu versneld kan worden