VanMoof reageert: 'Geen sprake van hack, maar kies wel een veilige unlock code'

VanMoof-fietsen kun je op een aantal manieren van het slot halen. Het 'schopslot' is de bekendste manier: geef een schop tegen de fiets en als je telefoon dichtbij genoeg is, gaat het slot open. In de praktijk wordt de unlock code veel gebruikt: je moet dan een cijfercode invoeren door een paar keer op de knop op het stuur te drukken.

Hoogstwaarschijnlijk is die unlock code de manier waarop de Amsterdamse caféganger zijn fiets kwijtraakte, en dat vervolgens op TikTok deelde. "Wij zijn meteen naar het café gegaan en hebben de beelden opgevraagd", zegt VanMoof-woordvoerder Thijs Plug. "Wat meteen duidelijk wordt is dat er geen sprake is van dat er iemand technologie tegen de fiets aanhoudt waardoor die open gaat. We zien wel dat zijn handen op het stuur liggen en dat er knoppen ingedrukt worden. Dus het lijkt, en dat is moeilijk te bewijzen, maar het lijkt erop dat hij gewoon de unlock code heeft geraden", aldus de woordvoerder.

Simpele code is minder veilig

Zo'n code kun je zo simpel of ingewikkeld maken als je zelf wil, zoals bij de pincode op je telefoon of de code van een cijferslot. En als je je fiets op slot zet met 0000 op het cijferslot, dan loop je meer kans dat die gestolen wordt. Die tip geeft de VanMoof-woordvoerder dus sowieso aan VanMoof-gebruikers: kies een wat ingewikkeldere unlock code, die niet zo snel geraden wordt. Dat kost in de praktijk wel iets meer drukken op de knop, maar de kans dat iemand je code raadt is stukken kleiner dan wanneer je '121' kiest, bijvoorbeeld.

Inmiddels is de fiets van de betreffende TikTok-gebruiker weer teruggevonden via de tracker die erin zit. In het systeem kan VanMoof ook zien dat de unlock code inmiddels is gereset.

'Hack technisch gezien onmogelijk'

Maar moeten VanMoof-gebruikers zich zorgen maken over een hack, ook al lijkt daar in dit geval geen sprake van? Woordvoerder Plug denkt van niet, want in ieder geval bij VanMoof zou dat niet mogelijk zijn. "Er is een cryptografische code op de telefoon, een op de fiets en nog een derde op onze back-end", legt de woordvoerder uit. "En wij kunnen in het systeem zien dat er niet met die code is gerommeld, de fiets is gewoon ontgrendeld met de juiste code. Er is niets gereset, er is geen cryptografische handshake gebruikt. Het lijkt er voor ons dus voor 99 procent op dat die code is geraden."

De politie zei eerder tegen Bright dat er in de praktijk wel sprake is van het gebruik van apparaten zoals de Flipper Zero om fietsen te ontgrendelen. Mogelijk werkt zo'n methode wel bij andere fietsen, maar bij VanMoof is daar volgens het bedrijf dus geen sprake van. Het politie-advies om je fiets zeker in de stad altijd met een extra slot vast te zetten, of in de stalling te parkeren, onderschrijft VanMoof wel.

Wel oppassen met VanMoof-apps van derden

Het is overigens niet zo dat VanMoof-fietsen totaal immuun zijn voor hacks. Maar wil je een VanMoof resetten zonder dat je de code weet, dan zal je hem uit elkaar moeten halen. De aansturing van de fiets zit in het frame verwerkt, en moet op een computer aangesloten worden en met specialistische software worden gekraakt. Maar van een simpele, snelle hack op straat lijkt dus momenteel geen sprake.

Wel waarschuwt de VanMoof-woordvoerder voor de apps van derden, die rond het faillissement van VanMoof verschenen. In die tijd waren klanten onzeker of hun fietsen nog wel zouden blijven werken als VanMoof failliet ging: omdat het ontgrendelen gebruikmaakt van een internetverbinding, waren daar volgens de woordvoerder 'begrijpelijke' zorgen over. Verschillende apps sprongen destijds op die zorgen in: die moest je dan zelf met je VanMoof-fiets koppelen, maar daar blijkt ook een risico in te zitten.

De databases van zulke apps verschijnen inmiddels namelijk weleens online, weet woordvoerder Plug. "Wij hebben onze klanten ook al eens gemaild met het advies om de connectie met die app te resetten", aldus de woordvoerder. "Dat is overigens dus niet wat er met de gestolen fiets is gebeurd", benadrukt Plug.

Meer nieuws over VanMoof en mis niets met onze Bright-app.