In 2008 onthulden Radboud-wetenschappers zwakheden in de OV-chipkaart. De Nederlandse rechter weigerde destijds een publicatie daarover te verbieden, mede omdat de Radboud Universiteit zich netjes aan responsible disclosure-regels hield.

Volkswagen stapte daarom in de ‘Megamos-zaak’ in 2013 naar een Engelse rechter. Dat kon, omdat een van de onderzoekers in de tussentijd naar de Universiteit van Birmingham overgestapt was. De Engelse rechter bleek in juni 2013 wel bereid om een publicatieverbod op te leggen.

Verdediging

De Radboud Universiteit heeft, samen met de Universiteit van Birmingham, dit Engelse publicatieverbod direct aangevochten: de gegevens over de chip waarop de onderzoekers zich baseren, zijn op rechtmatige manier beschikbaar. Ook is de fabrikant meer dan negen maanden voor de beoogde publicatie geïnformeerd. Volgens de responsible disclosure-richtlijn van de Nederlandse overheid is een termijn van zes maanden voldoende.

Het omstreden artikel bevat een wetenschappelijke analyse van het niveau van beveiliging van de Megamos-chip en is zeker geen handleiding voor hackers. De Radboud Universiteit is een fel verdediger van academische vrijheid en vindt dat autobezitters het recht hebben om te weten hoe goed of slecht de beveiliging van hun auto is.

Overleg en oplossing

Onderhandelingen via advocaten leverden lange tijd niets op. Een rechtstreeks informeel overleg in het najaar van 2014 in Londen wel. Volkswagen ging daarbij alsnog akkoord met publicatie, na het voorstel om één zin uit het oorspronkelijke artikel te verwijderen. Deze ene zin bevat een expliciete beschrijving van een onderdeel van de berekeningen op de chip. Het weglaten van deze zin maakt reconstructie van het gehele algoritme voor misbruik moeilijker, maar tast de wetenschappelijke inhoud niet aan.

Professor Bart Jacobs, hoofd van de onderzoeksgroep Digital Security in Nijmegen was nauw betrokken bij het gehele proces. "Als je bij Google een beveiligingslek meldt in hun software dan zijn ze daar blij mee. Dan betalen ze je tien tot honderdduizend dollar, afhankelijk van de ernst van het probleem", zei hij in het TV-programma Nieuwsuur. "Maar als je bij Volkswagen zo’n beveiligingsprobleem meldt, krijg je een proces aan de broek".

Jacobs kan goed met de tekstwijziging leven, zegt hij. "Wij academici hebben onze rug recht gehouden en blijven vinden dat het oplossen van securityproblemen het meest gebaat is met het verantwoord benoemen van zwakheden, niet met het onder de pet houden ervan. Het blijft vervelend dat hiermee zo veel tijd, geld en moeite verloren is gegaan. Dit is geen aanmoediging om gebreken alleen bij een fabrikant te melden."

Meer over het publicatieverbod in 2013: