De afmeldcode van een alarmsysteem is bedoeld voor de eigenaar van een gebouw. Die kan zich daarmee kenbaar maken bij de alarmcentrale op het moment dat een alarm onterecht afgaat. De alarmcentrale reageert dan niet en belt ook de politie niet.
Maar door een lek in een app van het Amerikaanse bedrijf Carrier Global, die werd gebruikt door alarmcentrale SMC, waren duizenden afmeldcodes op internet te vinden. Een server waarop de gegevens stonden, was niet goed afgeschermd. SMC zegt tegen BNR dat het lek niet door kwaadwillenden is gebruikt.
Minstens 26.000 alarmsystemen in Nederland zijn getroffen door het lek, schrijft BNR. Het zou onder meer gaan om alarmen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en Fox-IT, een bedrijf dat staatsgeheimen bewaart. Van veertienduizend van die systemen waren de afmeldcodes te vinden.
Maar door het lek kwamen meer gegevens op straat. Zo kwamen ook thuisadressen van bedrijfsdirecteuren, Quote 500-leden, BN'ers en zelfs een voormalige minister online te staan. BNR heeft die gegevens in bijna alle gevallen bevestigd.
De radiozender kwam het lek op het spoor via een klokkenluider, die de problemen begin 2023 ontdekte toen hij als softwareontwikkelaar werkte voor een theater. Hij waarschuwde daarop in februari 2023 Carrier Global, zou blijken uit correspondentie die BNR heeft ingezien. SMC werd in juni op de hoogte gebracht. De klokkenluider stapte ook naar de Autoriteit Persoonsgegevens (AP).
Carrier Global waarschuwde klanten na de bevindingen van de klokkenluider, maar deed niets aan de server waarop de gegevens te vinden waren. De app die in verbinding stond met die server werd in 2022 al uit appwinkels gehaald. SMC zou niet gehandeld hebben toen de klokkenluider het bedrijf op de hoogte stelde.
Vorige maand ontdekte de klokkenluider dat het lek ook beveiligingsbedrijf Securitas trof, dat gebruikmaakte van de verouderde systemen van Carrier Global. Securitas sloot daarop het kwetsbare systeem. Via het lek bij de beveiliger waren alleen persoonsgegevens online te vinden van klanten van het bedrijf, geen afmeldcodes.
SMC gooide het systeem pas dicht toen BNR met vragen kwam. Dat was ruim een jaar nadat de klokkenluider het lek had gevonden.
"Ik ben geschokt door de omvang", zegt beveiligingsonderzoeker Matthijs Koot van Secura tegen BNR over het lek.
"Het is zeer kwalijk dat deze alarmcentralesoftware met zulke ernstige kwetsbaarheden aan het internet hangt."
"Dit soort trucs kunnen gebruikt worden door de georganiseerde misdaad en buitenlandse inlichtingendiensten om fysieke toegang tot gebouwen te krijgen", zegt technisch directeur Ralph Moonen van Secura.
SMC reageert tegen BNR dat het onderzoek doet naar het lek. Ook onderzoekt de alarmcentrale waarom het zolang duurde voordat werd ingegrepen.
"Uit voorzorg hebben we een gerenommeerd cybersecuritybedrijf ingeschakeld om onderzoek uit te voeren. Ook hebben we besloten alle afmeldcodes van alle gebruikers te resetten en aanvullende authenticatiemaatregelen genomen", laat een woordvoerder weten aan de radiozender.
Carrier Global laat alleen weten het lek te onderzoeken. De veiligheid van gegevens van klanten is topprioriteit, zegt een woordvoerder.
Securitas zegt sinds vorige week op de hoogte te zijn van het lek en het systeem daarop direct te hebben gesloten. "Wij nemen dit uiterst serieus, omdat veiligheid onze corebusiness is", zegt een woordvoerder. "Veiligheidsprocedures bij Securitas maken het onmogelijk om eenzijdig cruciale gegevens te wijzigen. Daardoor is de veiligheid niet in gevaar geweest."
Securitas heeft melding gemaakt bij de AP.
Source: Nu.nl algemeen