Een groot deel van de wachtwoorden die bibliotheken voor hun leden genereren zijn voorspelbaar en zeer makkelijk te raden, zo stelt beveiligingsonderzoeker Maarten Hartsuijker van securitybedrijf Classity. De bibliotheken voorzien leden van een pincode die uit 4 of 6 cijfers bestaat.
Hierbij zijn de cijfers gebaseerd op een combinatie van geboortedag, geboortemaand en geboortejaar. "Bij de bibliotheken die kiezen voor een 4 cijferige combinatie van geboortedag en -maand zijn er onder de leden dus slechts 366 verschillende wachtwoorden in gebruik", aldus Hartsuijker. Verder blijkt dat de inlognamen van bibliotheekleden voorspelbaar zijn.
Dit zijn over het algemeen de pasnummers, die zijn opgebouwd uit het nummer van de bibliotheek (waarin vaak weer het kengetal van de plaats zit, zoals 77 voor Venlo) aangevuld met een oplopend volgnummer voor het lid. Een aantal bibliotheken hebben het probleem onderkend en inmiddels verholpen. "Maar bij vele bibliotheken is dit nog niet het geval", aldus de onderzoeker.
Daarnaast kiezen sommige bibliotheken ervoor om de zwakke pincodes actief te laten totdat leden die wijzigen, wat er toe kan leiden dat inloggen met een makkelijk te raden pincode voor slapende leden, of leden die het online portaal niet gebruiken, nog lange tijd mogelijk blijft. Via het online portaal van de bibliotheken kan toegang worden verkregen tot adresgegevens en de leengeschiedenis van leden, wat zeer persoonlijke informatie kan zijn.
Hartsuijker laat aan Security.NL weten dat hij contact heeft gehad met zijn eigen bibliotheek en de Vereniging van Openbare Bibliotheken. "Omdat ik na wat googlen zag dat het er een heleboel zijn die hier nog iets aan moeten doen. Zij zijn dus op de hoogte." De Vereniging van Openbare Bibliotheken wijst bibliotheken op het blog van de onderzoeker, als onderdeel van de aandacht die ze voor de algemene verordening gegevensbescherming (AVG) vragen. Bibliotheekleden krijgen het advies om op hun account in te loggen en zelf een sterk wachtwoord te kiezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.