image

Gemeente Eindhoven vervangt sportpas wegens kwetsbare QR-code

zaterdag 23 september 2023, 10:46 door Redactie, 25 reacties
Laatst bijgewerkt: 23-09-2023, 20:22

De gemeente Eindhoven gaat de lokale sportpas van inwoners wegens een kwetsbare QR-code vervangen door een pas met chip. Dat heeft burgemeester Dijsselbloem aan de gemeenteraad laten weten. Via de Eindhoven Sportpas kan er toegang tot zwembaden in de stad worden verkregen.

"Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas. Er staat alleen een QR-code op. Door de QR-code te scannen bij de receptie of de toegangspoortje worden de gegevens opgehaald uit ons eigen systeem. Bijvoorbeeld of je een abonnement of passe-partout hebt", aldus een uitleg over pas.

Tijdens een test eerder dit jaar ontdekte een ethische hacker een kwetsbaarheid in de toegangssystemen, aldus Dijsselbloem (pdf). "De QR-code op de Eindhoven Sportpas blijkt minder veilig dan gedacht toen er voor dit systeem is gekozen. De kwetsbaarheid maakte het mogelijk om met het tegoed van een andere gebruiker het zwembad binnen te komen." Details over het probleem zijn verder niet gegeven.

Naar aanleiding van de melding van de onderzoeker heeft de gemeente verschillende stappen ondernomen. Zo zijn de toegangspoortjes voor digitale toegang gesloten en is er melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens en is dit geregistreerd in het datalekkenregister van de gemeente Eindhoven. Volgens de burgemeester zijn er voor zover bekend geen gebruikers dupe geworden van de kwetsbaarheid.

Als oplossing voor de kwetsbaarheid worden alle passen met een QR-code vervangen voor passen met een chip. De klanten van de zwembaden die in het bezit zijn van een Eindhoven Sportpas ontvangen vóór 25 september bericht over het omwisselen van hun pas.

Reacties (25)
23-09-2023, 11:14 door Briolet
Er staat alleen een QR-code op

Volgens mij heb je geen ethische hacker nodig om te bedenken dat dit systeem compleet lek is. Op het moment dat je even een foto van een bestaande pas kunt maken, kun je die QR code uitprinten en op een blanco pasje plakken en je komt binnen.

En voor die foto hoef je niet eens dichtbij te staan, als je maar een goede camera hebt. Denk aan de foto van Kaag met "functie elders".
23-09-2023, 11:28 door Anoniem
Door Briolet:
Er staat alleen een QR-code op

Volgens mij heb je geen ethische hacker nodig om te bedenken dat dit systeem compleet lek is. Op het moment dat je even een foto van een bestaande pas kunt maken, kun je die QR code uitprinten en op een blanco pasje plakken en je komt binnen.

En voor die foto hoef je niet eens dichtbij te staan, als je maar een goede camera hebt. Denk aan de foto van Kaag met "functie elders".

Nee die Ethische Hacker heb je in dat geval alleen nodig om Onethische Dingen te doen, zoals een foto van andermans pasje maken en die dan op een kartonnetje plakken.

Alleen het HOEFT natuurlijk niet op die manier gedaan te zijn. Het kan ook zijn dat de Ethische Hacker zijn eigen pasje gescand heeft, gezien heeft dat er alleen een lidnummer in staat, dat op goed geluk een beetje heeft aangepast en opnieuw een QR code gemaakt heeft, en gezien heeft dat ie daar mee binnen kwam.
Dan zou je het een hack kunnen noemen. Die men had moeten voorkomen door een veel langer random gegeven in de QR code te zetten wat dan gekoppeld is aan een account.

Anders is het gewoon onethisch gedrag waar de samenleving weer het slachtoffer van wordt omdat er weer kosten moeten worden gemaakt omdat mensen zich niet aan normen en waarden kunnen houden.
23-09-2023, 12:07 door Anoniem
Door Briolet:En voor die foto hoef je niet eens dichtbij te staan, als je maar een goede camera hebt. Denk aan de foto van Kaag met "functie elders".

Dat was Kajsa Ollongren... ;-)
23-09-2023, 12:16 door Anoniem
Is dat een lek?
Daarnaast: dit is wel heel erg dom bedacht. Ongeveer als bij de toegang vragen 'wat is je persoonsnummer' en dan aannemen dat dat geheim is. Nou, vooruit, die QR code is iets privacy-vriendelijker.
23-09-2023, 13:12 door Anoniem
Door Briolet: Denk aan de foto van Kaag met "functie elders".

Dat was een notitie van verkenner Kajsa Ollongren die door een ANP-persfotograaf leesbaar werd gefotografeerd. :)

https://nos.nl/artikel/2374063-notities-ollongren-zichtbaar-positie-omtzigt-functie-elders
23-09-2023, 13:27 door Anoniem
Door Briolet:
Er staat alleen een QR-code op

Volgens mij heb je geen ethische hacker nodig om te bedenken dat dit systeem compleet lek is. Op het moment dat je even een foto van een bestaande pas kunt maken, kun je die QR code uitprinten en op een blanco pasje plakken en je komt binnen.

En voor die foto hoef je niet eens dichtbij te staan, als je maar een goede camera hebt. Denk aan de foto van Kaag met "functie elders".

Ik speculeer dat het 'function creep' is - waarbij de werkwijze veranderd is nadat het systeem ingericht is.

Naar aanleiding van de melding van de onderzoeker heeft de gemeente verschillende stappen ondernomen. Zo zijn de toegangspoortjes voor digitale toegang gesloten

Ik neem aan dat ze niet iedereen nu contant laten betalen .

Ik denk dat toen ze kozen voor pas met nummer (in een QR code) zonder pasfoto ze (alleen) werkten met balies waar iemand de pas scande , op de monitor kwam dan een naam + foto , en hielden ze pas-delen in de perken.

En toen voerden ze digitale poortjes in _zonder_ badmeester die kijkt of de kop van de bezoeker en de pashouder hetzelfde zijn , en bingo .

Nu gaan ze dan naar pasjes met chip - dan kun je het (al dan niet ongemerkt) kopieren van passen wel onder controle houden .
Maar het fysiek (uitlenen) van een pas niet , als je blijft werken met poortjes die alleen de pas controleren.

Een toegangsverbod voor zwembad tuig werkt natuurlijk ook niet als het tuig gewoon het pasje van zus/moeder/neef leent en nergens een controle zit of het wel de pashouder is die naar binnen gaat.
23-09-2023, 13:59 door Anoniem
Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas. Er staat alleen een QR-code op.

Je vraagt je af welke heldere lichten dit bedacht hebben.
Waar hadden die lampjes ervaring in?


"er staat geen persoonlijke informatie op de pas"
Maar de qr-code verwees blijkbaar wel naar een persoonlijk budget.

Zoals Homer Simpson zegt: "Doh."


QR-codes zijn niet meer dan een andere, scanbare, visuele weergave van tekens.
Ze hadden ook een streepjescode of een machineleesbare tekst kunnen gebruiken.
Die werken op een soortgelijke manier.

Iemand kan makkelijk bestaande QR-codes overplakken met zijn eigen gemaakte stickers.
Of een nieuw pasje maken, met daarop een qr-code van een ander.

Er is namelijk geen (persoonlijke) authenticatie bij het gebruik van zo'n qr-code.
23-09-2023, 14:53 door Anoniem
Als je een paar keer op een gesmokkelde QR het zwembad in bent geweest, en het beviel, dan neem je ook sneller zelf een abonnement zodra je kunt. Niet helemaal waterdicht zijn kan daardoor bijdragen aan de groei van zwembadkaarten.

Af en toe wat door de vingers zien kan de maatschappij veel leuker maken.
23-09-2023, 15:02 door Briolet
Oops. Het was idd Ollongren

Door Anoniem: Nu gaan ze dan naar pasjes met chip - dan kun je het (al dan niet ongemerkt) kopieren van passen wel onder controle houden .
Maar het fysiek (uitlenen) van een pas niet , als je blijft werken met poortjes die alleen de pas controleren.

Ik heb het vermoeden dat dit delen van een pasje geen groot probleem is. Het zijn geen abonnementspasjes maar pasjes waar je toch nog per bezoek betaalt. De ouderwetse strippenkaart kon je ook delen.
23-09-2023, 15:09 door Anoniem
Door Briolet: Oops. Het was idd Ollongren

Door Anoniem: Nu gaan ze dan naar pasjes met chip - dan kun je het (al dan niet ongemerkt) kopieren van passen wel onder controle houden .
Maar het fysiek (uitlenen) van een pas niet , als je blijft werken met poortjes die alleen de pas controleren.

Ik heb het vermoeden dat dit delen van een pasje geen groot probleem is. Het zijn geen abonnementspasjes maar pasjes waar je toch nog per bezoek betaalt. De ouderwetse strippenkaart kon je ook delen.

Huh ?
De kwetsbaarheid maakte het mogelijk om met het tegoed van een andere gebruiker het zwembad binnen te komen
Bijvoorbeeld of je een abonnement of passe-partout hebt",

Blijkbaar toch echt tegoed en abonnement - al dan niet gratis uit de grote bijstand subsidie pot )
23-09-2023, 21:43 door Anoniem
In Eindhoven, de gemeentelijke huisafvalcontainers, kun je ook openen met elk willekeurigg rfid pasje.
24-09-2023, 00:44 door Anoniem
Door Anoniem: In Eindhoven, de gemeentelijke huisafvalcontainers, kun je ook openen met elk willekeurigg rfid pasje.

Huisvuil verwerken is één van de belangrijkste taken van een gemeente. Als die container niet meer open gaat zonder pasje dan is dat werkweigering. Dan kun je ook de prioriteit van het betalen van je gemeentebelastingen verlagen. Of zeggen dat dat pas kan kan als ze daar een pasje voor hebben. Alleen je printer is kapot.
24-09-2023, 12:14 door Anoniem
Door Anoniem: In Eindhoven, de gemeentelijke huisafvalcontainers, kun je ook openen met elk willekeurigg rfid pasje.
Meestal worden die container systemen met een nogal naief beeld van het probleem neergezet.
Er worden pasjes uitgedeeld en die werken dan alleen op de container waar diegene het huisvuil moet storten.
Dat is dus de dichtstbijzijnde container op de kaart die bij de planning gebruikt is.
Maar zeker in de opstartfase blijkt dat containers niet op tijd geleegd worden, mensen van goede wil lopen een stukje naar een andere container die nog niet vol is, maar die gaat met hun pasje niet open.
Dan veranderen ze vanzelf in mensen van slechte wil die hun vuilniszak maar gewoon naast de container pleuren.
Ook blijkt in de praktijk dat mensen een andere container willen gebruiken dan de ambtenaar gepland had. Dat moeten ze dan doorgeven.
Zeker in de opstartfase loopt dit allemaal verschrikkelijk in de soep en regelmatig wordt er dan besloten "OK accepteer maar gewoon ieder pasje bij alle containers!".
Echter, de systeempjes in de containers kunnen niet alle pasjes die de gemeente uitgegeven heeft in hun lijst zetten, dus wordt dan de mode "accepteer ieder MiFare pasje" ingeschakeld en werkt het ook met je OV chipkaart enzo.

Dat is geen "slecht ontwerp" of "kwade wil", maar gewoon een gevolg van opstartproblemen. En als het dan een tijdje draait vraagt er iemand "waar waren die pasjes eigenlijk voor?" en wordt het helemaal nooit meer uitgezet.
Dan is het hele pasjes systeem hooguit nog nuttig om te voorkomen dat kinderen er mee gaan spelen enzo.
Hier zijn de paslezers allang uit de containers gehaald: ze gaan gewoon open zonder pas.
Dat heeft de hoeveelheid zwerfvuil enorm verminderd. Wel is er nu soms overlast doordat bijv restaurants die geen zin hebben om zelf afvalverwerking te regelen hun rotzooi erin gooien, wat dan een veel groter deel aan voedselresten enzo heeft en problemen geeft.
Met die pasjes kon er nog worden nagegaan wie dat waarschijnlijk deed, maar nu is dat lastiger geworden.
24-09-2023, 16:20 door Anoniem
De kwetsbaarheid maakte het mogelijk om met het tegoed van een andere gebruiker het zwembad binnen te komen." Details over het probleem zijn verder niet gegeven.
Ik denk dat deze ethische hacker een kopie of een origineel van de pas in handen heeft gekregen. Daardoor kon hij niet alleen inloggen, maar kreeg hij ook toegang tot de naw-gegevens en het financiële systeem van het slachtoffer. Hoever deze toegang is gegaan kan ik niet uit het verhaal opmaken, maar is kennelijk wel een datalek geweest van behoorlijke omvang.

Voordat gemeenten pasjes met QR-codes c.q. chips invoeren, zou ik hen dringend willen adviseren om éérst een ethische hacker in dienst te nemen om te zien of de in te voeren pas wel veilig genoeg is. Nu is het de bekende kalf dat verdronken is en daarna dat de put wordt gedempt.
24-09-2023, 18:37 door Anoniem
Door Anoniem:
Ik denk dat deze ethische hacker een kopie of een origineel van de pas in handen heeft gekregen. Daardoor kon hij niet alleen inloggen, maar kreeg hij ook toegang tot de naw-gegevens en het financiële systeem van het slachtoffer.
Hoe dat dan? Die QR code wordt toch gescand door het apparaat bij de ingang? Die op je eigen telefoon scannen levert een of andere regel tekst op. Hoezo zou je daarmee ergens kunnen inloggen en/of toegang tot gegevens kunnen krijgen?

Wat er staat in het artikel is dat het mogelijk is om op rekening van iemand anders te gaan zwemmen. Dat noem ik niet "toegang tot de naw-gegevens en het financiële systeem van het slachtoffer". Dat is gewoon gebruik maken van een al dan niet goed beveiligde verwijzing.
(zoals ik hierboven al schreef: afhankelijk van wat er nou eigenlijk "gehacked" is, toegang via het pasje van iemand anders dat ie gefotografeerd heeft, OF toegang via het pasje van iemand die hij zelf niet kent maar het nummer van geraden heeft)
24-09-2023, 20:03 door Anoniem
k denk dat deze ethische hacker een kopie of een origineel van de pas in handen heeft gekregen....
Ik denk dat deze ethische hacker een kopie of een origineel van de pas in handen heeft gekregen.

Het idee van dat een ethische hacker bestaat doet mij toch altijd weer de aan Staatshackers [land zelf invullen] denken. Hoe zou dat toch komen. Heeft Karma4 een mening hieromtrent? Vuilnisrapers en het verzamelde afval oprapen en en ergens anders, bijvoorbeeld bij een PD, is een oude truck van Justitie.
25-09-2023, 06:16 door Anoniem
Door Anoniem:
Door Briolet:En voor die foto hoef je niet eens dichtbij te staan, als je maar een goede camera hebt. Denk aan de foto van Kaag met "functie elders".

Dat was Kajsa Ollongren... ;-)

Ja, maar … maar het is altijd de schuld van Kaag (voor de zekerheid maar een /s).
25-09-2023, 08:49 door Anoniem
Door Anoniem:
Door Anoniem: In Eindhoven, de gemeentelijke huisafvalcontainers, kun je ook openen met elk willekeurigg rfid pasje.
Meestal worden die container systemen met een nogal naief beeld van het probleem neergezet.
Er worden pasjes uitgedeeld en die werken dan alleen op de container waar diegene het huisvuil moet storten.
Dat is dus de dichtstbijzijnde container op de kaart die bij de planning gebruikt is.
Maar zeker in de opstartfase blijkt dat containers niet op tijd geleegd worden, mensen van goede wil lopen een stukje naar een andere container die nog niet vol is, maar die gaat met hun pasje niet open.
.

Oneindige bedilzucht en regelneverij, de NS doet je toch ook niet verplichten dat je alleen kunt opstappen op het dichtst bij je huis gelegen NS station? (om de drukte te spreiden). Opeens mag je dan geen vuilniszakken meer buitenzetten, waar dat vroeger heel gebruikelijk en geaccepteerd was.
25-09-2023, 08:57 door Anoniem
Laat me raden, ze gaan de QR code vervangen door een MiFare mk1 chip (insert evil-laughter-here)...
25-09-2023, 10:21 door User2048
Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas.
Ik zou graag de redenatie hierachter willen zien. Waarom mogen er op een persoonlijke sportpas geen persoonsgegevens staan? En waarom mag dat dan wel op een rijbewijs?
25-09-2023, 10:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: In Eindhoven, de gemeentelijke huisafvalcontainers, kun je ook openen met elk willekeurigg rfid pasje.
Meestal worden die container systemen met een nogal naief beeld van het probleem neergezet.
Er worden pasjes uitgedeeld en die werken dan alleen op de container waar diegene het huisvuil moet storten.
Dat is dus de dichtstbijzijnde container op de kaart die bij de planning gebruikt is.
Maar zeker in de opstartfase blijkt dat containers niet op tijd geleegd worden, mensen van goede wil lopen een stukje naar een andere container die nog niet vol is, maar die gaat met hun pasje niet open.
.

Oneindige bedilzucht en regelneverij, de NS doet je toch ook niet verplichten dat je alleen kunt opstappen op het dichtst bij je huis gelegen NS station? (om de drukte te spreiden). Opeens mag je dan geen vuilniszakken meer buitenzetten, waar dat vroeger heel gebruikelijk en geaccepteerd was.

Dat zeg ik toch: "Meestal worden die container systemen met een nogal naief beeld van het probleem neergezet".
Die ambtenaren die dat ontwerpen (of het bedrijf waar ze dat aan uitbesteed hebben) komen zelf nooit in die wijk en zien niet dat het voor bepaalde mensen wellicht handiger is om via de tuin en achterom naar een iets verder gelegen container te lopen, dan om het vuil door het huis via de voordeur naar buiten te brengen naar de dichtsbijzijnde container die de ambtenaar bedacht had.
En er is een praktisch probleem: zo'n container heeft een microcontroller die op superlaag stroomverbruik werkt (er is geen netvoeding, ze werken op batterijen en soms een zonnepaneeltje) dus er zijn geen gigabytes storage aanwezig. Als die er wel waren dan was het nog vervelend om heel grote tabellen te moeten downloaden via de M2M verbinding met lage databundel.
Dus moet de lengte van de tabel van geldige pasnummers in de containers beperkt worden. Je ziet soms wel dat de lijst wordt uitgebreid naar "de 3 dichtstbijzijnde containers" ofzo, maar gewoon alle geldige passen erin laden dat is onpraktisch of zelfs onmogelijk.

Het is vaak geen kwade wil of burgertjepesten, zoals de mensen hier graag denken. Er zijn gewoon beperkingen aan het systeem en het beheer ervan. Heel die pasjes weglaten (wat men hier nu gedaan heeft) is een oplossing van die problemen, maar introduceert weer andere mogelijke problemen. Mensen vinden het ook niet fijn als hun container altijd vol is omdat die toevallig staat op een plek waar het voor heel veel mensen handig is er hun afval in te gooien. Daar komen ook klachten over (alleen niet van privacy nerds).
25-09-2023, 11:08 door Anoniem
Door User2048:
Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas.
Ik zou graag de redenatie hierachter willen zien. Waarom mogen er op een persoonlijke sportpas geen persoonsgegevens staan? En waarom mag dat dan wel op een rijbewijs?

Goeie vraag inderdaad.
Ik vraag me af of de betreffende designer of AVG adviseur een beetje te voorzichtig was.

Nu is een rijbewijs (en paspoort) natuurlijk wel een speciaal geval als officieel document, maar bv een OV chip kaart, of een patientenpas ziekenhuis hebben ook naam + foto .
25-09-2023, 11:14 door Anoniem
Door Anoniem: Als je een paar keer op een gesmokkelde QR het zwembad in bent geweest, en het beviel, dan neem je ook sneller zelf een abonnement zodra je kunt. Niet helemaal waterdicht zijn kan daardoor bijdragen aan de groei van zwembadkaarten.
Je praat criminaliteit goed. Een crimineel die met oplichting en bestelen niets geeft om anderen om te kunnen zwemmen hoort niet in het zwembad terug te komen. De zwembadkaartjes en de crimineel zijn niet belangrijker dan de rechten van de eerlijke bezoekers.
Onzin ook om te doen dat een crimineel een zwembadkaart koopt als die illegaal naar binnen kan. De crimineel geeft dat illegaal naar binnen gaan niet opeens op. Als de crimineel het wel op geeft gaat die niet opeens wel geld uit geven.
25-09-2023, 16:02 door majortom - Bijgewerkt: 25-09-2023, 16:03
Door Anoniem:
Door User2048:
Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas.
Ik zou graag de redenatie hierachter willen zien. Waarom mogen er op een persoonlijke sportpas geen persoonsgegevens staan? En waarom mag dat dan wel op een rijbewijs?

Goeie vraag inderdaad.
Ik vraag me af of de betreffende designer of AVG adviseur een beetje te voorzichtig was.

Nu is een rijbewijs (en paspoort) natuurlijk wel een speciaal geval als officieel document, maar bv een OV chip kaart, of een patientenpas ziekenhuis hebben ook naam + foto .
Je hebt ook een "anonieme" OV kaart of kunt een los kaartje kopen als je dat niet wil. Dus je hebt een alternatief. De ziekenhuizen waarmee ik te maken heb gehad hadden niet zoiets als een patientenpas. En alle data die je niet nodig hebt voor de verwerking zou niet op de kaart moeten staan, dus wat dat bereft voldoet dit idd niet aan de AVG aangezien het wel persoongegevens betreft.

Verder was dit de vervanging van de Stadspas in Eindhoven, waar o.a. de BSN en geboortedatum op stonden (die niet nodig waren voor de verwerking), waarbij het risico natuurlijk aanzienlijk groter was.
25-09-2023, 17:46 door Anoniem
Door majortom:
Door Anoniem:
Door User2048:
Om aan de privacywetgeving te voldoen, staat er geen persoonlijke informatie zoals naam en pasfoto op de Sportpas.
Ik zou graag de redenatie hierachter willen zien. Waarom mogen er op een persoonlijke sportpas geen persoonsgegevens staan? En waarom mag dat dan wel op een rijbewijs?

Goeie vraag inderdaad.
Ik vraag me af of de betreffende designer of AVG adviseur een beetje te voorzichtig was.

Nu is een rijbewijs (en paspoort) natuurlijk wel een speciaal geval als officieel document, maar bv een OV chip kaart, of een patientenpas ziekenhuis hebben ook naam + foto .
Je hebt ook een "anonieme" OV kaart of kunt een los kaartje kopen als je dat niet wil. Dus je hebt een alternatief. De ziekenhuizen waarmee ik te maken heb gehad hadden niet zoiets als een patientenpas. En alle data die je niet nodig hebt voor de verwerking zou niet op de kaart moeten staan, dus wat dat bereft voldoet dit idd niet aan de AVG aangezien het wel persoongegevens betreft.

Voor OV business, of abonnement is dat alternatief er niet en heb je alleen de optie foto-pas.

Ik heb zo m'n twijfels dat gezamelijke ziekenhuis juristen en security officers allemaal gemist hebben wat 'majortom' wel snapt omtrent AVG.
Kortom - het zal wel toegestaan zijn op die patienten pas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.