De gemeente Eindhoven gaat de lokale sportpas van inwoners wegens een kwetsbare QR-code vervangen door een pas met chip. Dat heeft burgemeester Dijsselbloem aan de gemeenteraad laten weten. Via de Eindhoven Sportpas kan er toegang tot zwembaden in de stad worden verkregen.
"Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas. Er staat alleen een QR-code op. Door de QR-code te scannen bij de receptie of de toegangspoortje worden de gegevens opgehaald uit ons eigen systeem. Bijvoorbeeld of je een abonnement of passe-partout hebt", aldus een uitleg over pas.
Tijdens een test eerder dit jaar ontdekte een ethische hacker een kwetsbaarheid in de toegangssystemen, aldus Dijsselbloem (pdf). "De QR-code op de Eindhoven Sportpas blijkt minder veilig dan gedacht toen er voor dit systeem is gekozen. De kwetsbaarheid maakte het mogelijk om met het tegoed van een andere gebruiker het zwembad binnen te komen." Details over het probleem zijn verder niet gegeven.
Naar aanleiding van de melding van de onderzoeker heeft de gemeente verschillende stappen ondernomen. Zo zijn de toegangspoortjes voor digitale toegang gesloten en is er melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens en is dit geregistreerd in het datalekkenregister van de gemeente Eindhoven. Volgens de burgemeester zijn er voor zover bekend geen gebruikers dupe geworden van de kwetsbaarheid.
Als oplossing voor de kwetsbaarheid worden alle passen met een QR-code vervangen voor passen met een chip. De klanten van de zwembaden die in het bezit zijn van een Eindhoven Sportpas ontvangen vóór 25 september bericht over het omwisselen van hun pas.
Deze posting is gelocked. Reageren is niet meer mogelijk.