Volgens cybersecuritybedrijf Vest is het mogelijk om op kosten van iemand anders een elektrische auto op te laden. Het hele proces heeft tekortkomingen, stelt onderzoeker Alexander van Ee: vanaf het aanvraagproces voor een pas tot en met het gebruik en betalen voor de dienst.
Activatie
Mensen kunnen een laadpas voor een elektrische auto online aanvragen. “Controle op juistheid van gegevens is er niet. Zo heb ik verschillende keren een bankrekeningnummer gebruikt dat helemaal niet van de aanvrager was”, zegt Van Ee. Een pas moet voor gebruik worden geactiveerd. Bij een aantal van de aangevraagde passen blijkt echter dat de auto opgeladen kan worden zonder deze activatie. Voorts zou de beveiliging van de chip op de laadpassen minimaal zijn. Kopiëren van een bestaande pas is relatief gemakkelijk: de aanwezige beveiligingsmogelijkheden op de chip worden namelijk niet gebruikt.
Flipper Zero
Tevens is het eenvoudig om het pasnummer te achterhalen en vervolgens te koppelen aan herschrijfbare passen. De reeks gebruikte pasnummers is erg klein, zodat bij een bruteforce-aanval relatief snel een bruikbaar pasnummer te ontdekken is. De onderzoeker kwam er ook achter dat het mogelijk is om elektrische auto’s gratis op te laden via druppelladen. Gebruikers betalen pas vanaf een minuut. Met een apparaatje zoals Flipper Zero is het mogelijk om korte oplaadsessies van een minuut te automatiseren.