Een groot deel van de wachtwoorden die bibliotheken voor hun leden genereren zijn zeer makkelijk te raden, aldus beveiligingsonderzoeker Maarten Hartsuijker van Classity. De bibliotheken voorzien leden van een pincode die uit vier of zes cijfers bestaat.
De cijfers voor de wachtwoorden zijn gebaseerd op een combinatie van geboortedag, geboortemaand en geboortejaar. “Bij de bibliotheken die kiezen voor een viercijferige combinatie van geboortedag en -maand zijn er onder de leden dus slechts 366 verschillende wachtwoorden in gebruik,” schrijft beveiligingsonderzoeker Maarten Hartsuijker van Classity.
Inlognamen ook voorspelbaar
Ook de inlognamen van leden zijn voorspelbaar. Dit zijn over het algemeen de pasnummers, die zijn opgebouwd uit het nummer van de bibliotheek (waarin vaak weer het kengetal van de plaats zit, zoals 77 voor Venlo) aangevuld met een oplopend volgnummer voor het lid.
Actie
Volgens Hartsuijker laat een aantal Nederlandse bibliotheekwebsites zien dat bibliotheken deze kwetsbaarheid (vermoedelijk in de aanloop naar de AVG) eind vorig jaar hebben onderkend en (deels) hebben weggenomen. “Maar bij vele bibliotheken is dit nog niet het geval, “aldus de beveiligingsonderzoeker. “Daarnaast kiezen sommige bibliotheken ervoor om de zwakke pincodes tot de eerste keer wijzigen actief te laten, wat er toe kan leiden dat inloggen met een makkelijk te raden code voor slapende leden (of leden die het online portaal niet gebruiken) nog lange tijd mogelijk blijft.”
VOB op de hoogte
Hartsuijker vertelt aan Security.NL dat hij contact heeft gehad met zijn eigen bibliotheek en de Vereniging van Openbare Bibliotheken (VOB). “Omdat ik na wat googlen zag dat het er een heleboel zijn die hier nog iets aan moeten doen. Zij zijn dus op de hoogte,” aldus Hartsuijker op Security.NL. De VOB wijst bibliotheken op het blog van de onderzoeker, als onderdeel van de aandacht die ze voor de algemene verordening gegevensbescherming (AVG) vragen.
(Bron: Security.NL, beeld: pixabay.com)