image

'Gemeente Eindhoven negeerde waarschuwingen over kwetsbare sportpas'

donderdag 8 augustus 2024, 12:26 door Redactie, 8 reacties

De gemeente Eindhoven heeft waarschuwingen over de kwetsbaarheid van de sportpas genegeerd. Dat meldt het Eindhovens Dagblad op basis van (een vertrouwelijk) onderzoek dat de gemeente liet uitvoeren. Vorig jaar werd bekend dat Eindhoven de lokale sportpas van inwoners wegens een kwetsbare QR-code ging vervangen door een pas met chip. Het ging om ruim twaalfduizend passen die inmiddels vervangen zijn.

Tijdens een test door een 'ethisch hacker' werd ontdekt dat de kwetsbare QR-code het mogelijk maakte om met het tegoed van een andere gebruiker het zwembad binnen te komen. Het beveiligingsprobleem was pijnlijk, aangezien de sportpas de stadspas verving die juist wegens privacybezwaren was afgeschaft. Uit het onderzoek dat de gemeente naar de sportpas liet uitvoeren blijkt dat de wettelijk verplichte privacytoets niet was uitgevoerd voordat de pas werd geïntroduceerd.

Toen het data protection impact assessment (DPIA) wel werd opgesteld, werd de interne Functionaris Gegevensbescherming (FG) niet om advies gevraagd over de beheersmaatregelen. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht, zodat er dan maatregelen kunnen worden getroffen om die te beperken. "Zonder de beoordeling van de FG bestaat het gevaar dat kritieke privacykwesties onopgemerkt blijven en niet worden aangepakt, wat kan leiden tot schendingen van de privacywetgeving, datalekken en reputatieschade", aldus het onderzoek.

De onderzoekers stellen verder dat risico’s niet integraal zijn beoordeeld waardoor het stadsbestuur de sportpas invoerde op basis van halve informatie. De gemeente zegt dat het interne processen gaat aanscherpen. De Functionaris Gegevensbescherming meldde in maart van dit jaar dat de audit naar de situatie rond de sportpas 'heldere constateringen' en acht 'waardevolle aanbevelingen' bevat die op het gehele DPIA-proces van de gemeente van toepassing zijn (pdf).

Reacties (8)
08-08-2024, 13:35 door Anoniem
Lijkt er erg op dat er gewoon een UserID string o.i.d. in de QR code heeft gestaan,
misschien net zo simpel als vroeger met de magneet strip op de gemiddelde kaart.

(mijn dochter heeft zo een pas, halen ze door de scanner en ze zitten in haar 'kaart', maar het nummer van de pas op blèren geeft het zelfde effect).

maar een qr code kun je met elke browser laten genereren, zo een magneet strip programmeren kost dan nog net iets meer moeite..
08-08-2024, 13:43 door Anoniem
Hmm interessant. Ik haal hieruit de aanname dat als FG om advies was gegaan dat het incident niet mogelijk was. Aangezien er een ethisch hacker aan te pas moest komen, denk ik dat ook de FG dit in zijn of haar advies niet had geconstateerd. Althans, de gemiddelde FG niet.
08-08-2024, 14:19 door Anoniem
Lekkere reclame voor 'de' stad van brainport
08-08-2024, 14:37 door Anoniem
Door Anoniem: Lekkere reclame voor 'de' stad van brainport
Ambtenaren zijn meestal geen Beta's (politici ook niet)

Ik woon in Eindhoven. Het is niet anders dan in andere gemeenten.
08-08-2024, 18:38 door Anoniem
Door Anoniem: Hmm interessant. Ik haal hieruit de aanname dat als FG om advies was gegaan dat het incident niet mogelijk was. Aangezien er een ethisch hacker aan te pas moest komen, denk ik dat ook de FG dit in zijn of haar advies niet had geconstateerd. Althans, de gemiddelde FG niet.
Dit heeft idd niets met een DPIA of de FG te maken. Dit gaat om dat men een slechte beveiliging op de applicatie heeft doorgevoerd. Door de QRcode/url te manipuleren kon men in iemand anders account. Een DPIA voorkomt een slechte implementatie niet, dat gaat alleen over welke gegevens je verwerkt voor welk doel, niet hoe je er bij komt. Op basis van de DPIA kan je wel beslissen welk veiligheidsniveau je wilt hanteren voor de applicatie en welke maatregelen geïmplementeerd worden, maar ook dat beschermt je niet tegen een slechte implementatie. Een Pen en Hack test mogelijk wel, vreemd dat die niet is uitgevoerd, bij alles wat wij live zetten doen we dat wel van te voren (ook een (grotere) gemeente)

In ieder geval kan men een schade claim indienen bij degene die dit prutswerk heeft geleverd, url manipulatie bestaat al meer als 10 jaar....
08-08-2024, 18:40 door Anoniem
Vorig jaar werd bekend dat Eindhoven de lokale sportpas van inwoners wegens een kwetsbare QR-code ging vervangen door een pas met chip. Het ging om ruim twaalfduizend passen die inmiddels vervangen zijn.
Flinke kans dat dit niet veel oplost. Men is vast niet zover gegaan om op die "chip" (zal ongetwijfeld een MiFare pas zijn) gebruik te maken van de beveiligde datarecords, maar men gebruikt vast alleen het serienummer van de chip om te verwijzen naar een centrale administratie van het tegoed, net als bij de QR code.
09-08-2024, 07:59 door Anoniem
Door Anoniem: Lijkt er erg op dat er gewoon een UserID string o.i.d. in de QR code heeft gestaan,
Het zal vermoed ik eerder een kaart-id zijn geweest die in het achterliggende systeem aan een persoon was gekoppeld. Het punt is dat een QR-code statisch en doodsimpel te kopiëren is (met een kopieerapparaat) en aan een persoonlijk tegoed gekoppeld was. Dat is vragen om problemen. Daarbij maakt het niet uit hoe die koppeling met de persoon nou precies gelegd werd, het gaat erom dat die gebaseerd was op een onveranderlijke code die doodsimpel naar een fotokopie overgezet kon worden.
misschien net zo simpel als vroeger met de magneet strip op de gemiddelde kaart.
In termen van de betrokken data is het vermoedelijk precies hetzelfde, maar een QR-code geeft grotere problemen omdat werkelijk iedereen in staat is een fotokopietje van een QR-code te maken, dat zijn veel meer mensen dan die een magneetstrip kunnen beschrijven. De technische drempel tegen misbruik is bij QR-codes nagenoeg nul.

Door Anoniem: Hmm interessant. Ik haal hieruit de aanname dat als FG om advies was gegaan dat het incident niet mogelijk was. Aangezien er een ethisch hacker aan te pas moest komen, denk ik dat ook de FG dit in zijn of haar advies niet had geconstateerd. Althans, de gemiddelde FG niet.
Dit is zo simpel dat iedere FG dit zou moeten kunnen constateren: het is een statische code die gekopieerd kan worden door iedereen die die snugger genoeg is om op het knopje van een kopiëerapparaat te kunnen drukken. Het zal voor die ethische hacker echt niet de meest ingewikkelde "hack" uit zijn of haar loopbaan geweest zijn. Ik vind het eigenlijk vooral schokkend dat de verantwoordelijken die voor de QR-code hebben gekozen en de betrokkenen bij de invoering dit niet zelf hebben weten te bedenken — en wellicht degenen die het wel aankaartten hebben genegeerd.
09-08-2024, 15:40 door Anoniem
Door Anoniem:
Door Anoniem: Lijkt er erg op dat er gewoon een UserID string o.i.d. in de QR code heeft gestaan,
Het zal vermoed ik eerder een kaart-id zijn geweest die in het achterliggende systeem aan een persoon was gekoppeld. Het punt is dat een QR-code statisch en doodsimpel te kopiëren is (met een kopieerapparaat) en aan een persoonlijk tegoed gekoppeld was. Dat is vragen om problemen. Daarbij maakt het niet uit hoe die koppeling met de persoon nou precies gelegd werd, het gaat erom dat die gebaseerd was op een onveranderlijke code die doodsimpel naar een fotokopie overgezet kon worden.

Ja en nu is men overgestapt naar een "pas met chip" en is de kans levensgroot dat men gewoon het unieke serienummer van die pas gebruikt om de koppeling met een persoon te maken!
Die kun je niet met een kopieerapparaat overzetten maar wel met een simpel voor iedereen verkrijgbaar apparaatje, waarbij je passen gebruikt die (tegen de voorschriften van de standaard in) een beschrijfbaar serienummer hebben.

Dan zijn er dus weer dezelfde kwetsbaarheden als met de QR code:
1. je kunt iemands pas kopieren en meeliften op diens toegang/saldo
2. je kunt een ander nummer gokken (bijv 1 hoger of 1 lager) voor het serienummer van de pas, en zo de toegang/saldo van iemand wiens pas je nooit gezien hebt misbruiken

Het is wel mogelijk om daadwerkelijk veilige info op de pas te schrijven, zoals bijvoorbeeld de OV chipkaart doet, maar dat is ordes van grootte complexer en wordt door zowat geen enkele MiFare applicatie die alleen bedoeld is voor simpele identifcatie gebruikt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.