В сюжете голландской ТВ-программы Nieuwslicht специалисты компании Riscure (г. Делфт), специализирующейся на безопасности смарт-карт и мобильной телефонии, наглядно продемонстрировали, как из паспорта, предъявляемого на контрольном пункте, можно незаметно с расстояния десять метров перехватить всю выдаваемую RFID информацию. А затем, хоть эта информация в голландских паспортах защищена криптографией системы BAC («базовый контроль доступа»), все шифрование вскрывается за два часа работы обычного ПК. В результате потенциальным злоумышленникам становится доступна не только стандартная информация, вроде даты рождения владельца паспорта, но и его биометрия — файлы цифровой фотографии лица и отпечатка пальца. Столь вопиющая слабость защиты объясняется неудачным выбором структуры для секретного ключа, призванного обеспечивать безопасность передаваемых в эфир данных. Формально этот ключ, генерируемый на основе машиночитаемых строк в паспорте, обладает достаточной длиной для противостояния быстрым лобовым атакам, но на самом деле значительный фрагмент ключа легко предсказуем, поэтому для перебора на машине остается всего 35 бит.

В частности, секретный ключ голландского паспорта (в его первоначальной, доступной для экспериментов форме) вычисляется на основе даты окончания срока действия документа, даты рождения владельца и собственно номера паспорта. При этом система присвоения номеров в Нидерландах строится последовательно и соотносится с датой истечения срока. Более того, последняя цифра этого номера вообще является проверочной и вносит дополнительную предсказуемость. Таким образом аналитики компании показали, что даже выбором новой системы, формирующей непредсказуемые номера паспортов, уже можно было бы существенно усилить всю технологию. До вмешательства «хакеров» из Riscure в компетентных государственных инстанциях эта очевидная мысль почему-то никому в голову не приходила. Теперь же, по свидетельству голландского МВД, ведомством изыскиваются пути для улучшения безопасности новых паспортов.