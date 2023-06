Heel wat festivals schakelen deze zomer over op festivalbandjes met een QR-code. Daarop kan je gemakkelijk geld storten om bijvoorbeeld drank te kopen, door ze te scannen met je smartphone. Ethische hacker Inti De Ceukelaire stelt vast dat die bandjes niet altijd veilig zijn. Het is zelfs mogelijk om geld van iemand te stelen ná het festival.

‘TW Classic goes cashless’, zo staat het op de website van het welbekende festival. Het is één van de plekken die dit jaar voor een festivalbandje met QR-code (en chip) gaan. Bij de ingang wordt jouw ticket gescand en krijg je in ruil zo’n bandje om je pols. Aan één van de kassa’s op het terrein kan je vervolgens geld storten op het bandje met een QR-code, om vlot drank en eten op de wei mee te betalen.



Bezoekers van festivals worden niet overal verplicht om ze op naam te registreren. Bij Graspop was dat wél het geval, maar bij TW-Classic kon je ze gebruiken zonder daar meteen een naam of e-mailadres aan te koppelen. Met andere woorden: het bandje is relatief anoniem te gebruiken, zeker als je met de kassa’s op het terrein werkt.

QR-code niet veilig

QR-codes zijn gemaakt om gemakkelijk te scannen. Daarom vind je ze vaak op pakjes bijvoorbeeld, die kriskras door elkaar verwerkt worden in sorteercentra maar wel geïdentificeerd moeten worden. Hoe je ze ook draait, en zelfs als een gedeelte van de code bedekt is, een camera of scanner kan altijd de gegevens van zo'n QR lezen.

Zo’n barcode rond je pols is dus niet veilig, want iedereen kan hem fotograferen en die kopie gebruiken. “Bij de bandjes voor festivals proberen ze dat op te lossen door een ‘geheime code’ aan de binnenkant te drukken als extra beveiliging”, zegt ethisch hacker Inti De Ceukelaire. “Dat is een soort wachtwoord dat andere festivalgangers niet kunnen zien. Terwijl ze jouw QR-code wél zomaar kunnen fotograferen als je wild met je armen in de lucht zwaait op een geweldig nummer. Of als je een foto post op sociale media bijvoorbeeld.” Die geheime code heb je nodig als je besluit om je polsbandje op naam te registreren en als je na het festival geld wil terugkrijgen dat je niet hebt opgemaakt.

Volledig scherm The Starlings op TW-Classic. Op foto's op sociale media duiken de QR-codes op. © Instagram

‘Geheime code' toch te lezen

Maar daar loopt het fout: “De geheime code zit ook gewoon opgeslagen in de QR-code, heb ik ontdekt. Wie dus bandjes van festivalgangers kan fotograferen, kan ook hun bandje claimen als dat nog niet geregistreerd was op hun naam”, zegt De Ceukelaire. “Vanaf morgen kunnen bezoekers van TW Classic het resterende saldo op hun polsbandje terugkrijgen. Als je een bandje kopieerde dat niet geregistreerd werd, dan is het in theorie mogelijk om geld op je eigen rekening te laten storten.”

Bij de maker van de bandjes zeggen ze wel dat in principe teruggestort wordt naar het middel waarmee betaald werd. Maar betaal je cash op het festival, dan is dat uiteraard geen optie.

Bandjes stelen en pintjes controleren

Polsbandjes kunnen op die manier ook gestolen worden. Ben je je bandje kwijt als bezoeker, dan kan je enkel een nieuw krijgen als je dat op voorhand geregistreerd had. Als iemand met slechte bedoelingen een niet-geregistreerd polsbandje kopieert - door een foto op sociale media bijvoorbeeld - en het met de ‘geheime code’ online op eigen naam zet, kan die vervolgens bij een infopunt aan de ingang claimen dat hij of zij het kwijt is en in principe een nieuw krijgen. Zo krijgt die persoon niet enkel toegang tot het geld maar óók tot het festival. (Als men bij het infopunt tenminste niet naar jouw oude ticket vraagt.)

Je kan bij zo een valse registratie ook zien wat de oorspronkelijke gebruiker aankoopt. Hoeveel pintjes bijvoorbeeld. Ook de exacte locatie van een aankoop wordt opgeslagen en is dus te achterhalen, toont het onderzoek van De Ceukelaire aan.

Neem maatregelen

Hoe kan je nu vermijden dat hackers jouw geld stelen of in jouw naam een nieuw bandje aanvragen bij de ingang? “Om te beginnen deel je best geen foto van de QR-code van jouw bandje. Maar de beste methode is jouw bandje altijd op naam te registreren voor het festival begint. Zo kan niemand anders een foto van je code maken en jouw bandje claimen. De code afplakken kan ook natuurlijk.”

We hebben contact opgenomen met festivalorganisator Live Nation maar kregen voorlopig geen reactie. Meer informatie over de hack vind je op de blog van De Ceukelaire.

