De sportpas van de gemeente Eindhoven is vatbaar voor QR-fraude. De gemeente heeft melding gedaan van een datalek en gaat de QR-passen binnenkort vervangen door een pas met een chip.
Volgens een brief van burgemeester Dijsselbloem aan de gemeenteraad heeft de oude Eindhoven Sportpas een kwetsbare QR-code. Met alleen deze QR-code en geen naamsvermelding of een pasfoto wil de gemeente voldoen aan de GDPR-wetgeving rondom privacy. Door te scannen bij een toegangspoort wordt alleen informatie opgehaald of de eigenaar over een abonnement of passe-partout beschikt.
Een ethische hacker ontdekte echter eerder dit jaar een kwetsbaarheid in de toegangssystemen van de Eindhovense zwembaden. De kwetsbaarheid maakte het mogelijk om met tegoed van een andere gebruiker het zwembad binnen te komen. Andere details zijn niet bekendgemaakt.
Melding datalek
Naar aanleiding van het onderzoek heeft de gemeente Eindhoven actie ondernomen, geeft Dijsselbloem aan. De toegangspoortjes zijn voor digitale toegang gesloten en er is melding gedaan van een datalek bij de Autoriteit Persoonsgegevens. Ook is het datalek geregistreerd in het datalekkenregister van de gemeente Eindhoven.
Ter vervanging van de oude pas, komt er nu een pas met een chip. De omwisseling van de sportpassen start binnenkort.
Tip: In gesprek met ethische hacker; wat is het en hoe word je het?
23 uur geleden
Expert bijdrage
