De gemeente Eindhoven heeft 'uit voorzorg' een datalek gemeld bij de Autoriteit Persoonsgegevens. Die melding draait om de ZwemApp van de gemeente. Er is vooralsnog geen indicatie dat er daadwerkelijk gegevens zijn uitgelekt.
Een softwareontwikkelaar uit Mierlo heeft elf kwetsbaarheden in de ZwemApp ontdekt en die gemeld bij de gemeente, schrijft het Eindhovens Dagblad. Met die app kunnen gebruikers bijvoorbeeld informatie over zwem- en bewegingslessen in twee plaatselijke zwembaden inzien. Ook is het via de app mogelijk om bezoeken te reserveren. Volgens de beveiligingsonderzoeker waren de gegevens van gebruikers niet goed beveiligd. Ook was de privacy niet goed op orde.
De ontwikkelaar zegt bijvoorbeeld dat informatie over het appgebruik wordt gedeeld met Google, schrijft het ED. Ook krijgt Android-versie van de app ongevraagd toegang tot de contacten, agenda en locatie van gebruikers. Daarnaast konden gebruikers geen reserveringen maken zonder toestemming te geven voor het gebruik van hun persoonsgegevens. Inmiddels is een update uitgebracht die moet zorgen voor 'dataminimalisatie', zegt de gemeente tegen het dagblad.
De gemeente Eindhoven heeft inmiddels een melding van een datalek gedaan bij de Autoriteit Persoonsgegevens. Volgens de gemeente zijn er overigens geen aanwijzingen dat er daadwerkelijk gegevens zijn uitgelekt. "De melding is uit voorzorg gedaan”, zegt een woordvoerder tegen het Eindhovens Dagblad. "Na deze melding is meteen een onderzoek gestart naar mogelijke gevolgen voor betrokkenen, oorzaken en eventueel te nemen maatregelen. Het onderzoek is nog gaande.”
De onderzoeker die de problemen meldde bij de gemeente Eindhoven, deed dat eerder ook al rondom problemen met de Eindhovense sportpas. De ethische hacker meldde in 2023 dat de QR-code op die pas kwetsbaar was, waardoor het mogelijk zou zijn geweest om het tegoed van anderen te gebruiken om het zwembad binnen te komen, schreef het Eindhovens Dagblad.
De gemeente Eindhoven staat sinds begin vorig jaar ook onder verscherpt toezicht bij de Autoriteit Persoonsgegevens. De privacytoezichthouder zei toen dat het 'signalen heeft dat de gemeente datalekken niet of niet op tijd meldt, verplichte scans op privacyrisico's achterwege laat en persoonsgegevens van burgers te lang bewaart'.
Source: Tweakers.net