Pasjes voor vrijwel alle laadpalen zijn alleen beveiligd met een uniek id-nummer dat door iedereen te kopiëren is. De pasjes missen andere beveiligingscomponenten en kunnen zo door iedereen worden gestolen, blijkt uit onderzoek van ESET.

Volgens het beveiligingsbedrijf zijn de laadpassen van 'vrijwel alle grote laadpaalaanbieders van Nederland' kwetsbaar, schrijft de NOS. "We zijn hotels en tankstations langsgegaan en hebben onder andere FastNed, EvBox en anderen geprobeerd", bevestigt ESET-onderzoek Dave Maasland tegenover Tweakers.

De passen zijn enkel beveiligd met een uniek serienummer. Dat kan worden gekopieerd met een willekeurige app op een telefoon die nfc kan scannen. In een video van de NOS is te zien hoe dat in enkele seconden gebeurt. Een aanvaller kan vervolgens met alleen het unieke serienummer van de kaart op iemand anders' naam laden. ESET gebruikte daarvoor alleen een simpele nfc-schrijver en een goedkope beschrijfbare Mifare Classic-kaart met slechts zeven bytes aan geheugen. Dat was genoeg om de kaart te kopiëren.

Volgens ESET zijn de passen van vrijwel alle grote Nederlandse aanbieders lek. FastNed zegt dat het inderdaad "niet de best beveiligde techniek" gebruikt, maar dat het wel let op 'verdachte' transacties. Ook worden laadstations zelf in de gaten gehouden met camera's, zegt het bedrijf. Ook NewMotion, een grote aanbieder van de kaarten, zegt tegen de NOS 'bekend te zijn' met het probleem. De bedrijven zeggen niet of zij met een oplossing komen. Er zijn op dit moment geen aanwijzingen dat er op deze manier fraude wordt gepleegd. Volgens NewMotion wordt daar 'goed op gecontroleerd', en hoeven klanten volgens het bedrijf niet te betalen als zij slachtoffer worden.