De afmeldcode van een alarmsysteem is bedoeld voor de eigenaar van een gebouw. Die kan zich daarmee kenbaar maken bij de alarmcentrale op het moment dat een alarm onterecht afgaat. De alarmcentrale reageert dan niet en belt ook de politie niet.
Maar door een lek in een app van het Amerikaanse bedrijf Carrier Global, die werd gebruikt door alarmcentrale SMC, waren duizenden afmeldcodes op internet te vinden. Een server waarop de gegevens stonden, was niet goed afgeschermd. SMC zegt tegen BNR dat het lek niet door kwaadwillenden is gebruikt.
Minstens 26.000 alarmsystemen in Nederland zijn getroffen door het lek, schrijft BNR. Het zou gaan om alarmen van onder meer supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en Fox-IT, een bedrijf dat staatsgeheimen bewaart. De afmeldcodes van veertienduizend van die systemen waren online te vinden.
Maar door het lek waren ook de thuisadressen van bedrijfsdirecteuren, Quote 500-leden, BN'ers en een voormalige minister online toegankelijk. BNR heeft die gegevens in bijna alle gevallen bevestigd. Volgens SMC was die informatie niet zomaar te vinden en hebben kwaadwillenden geen toegang gekregen tot deze data.
De radiozender kwam het lek op het spoor via een klokkenluider, die de problemen begin 2023 ontdekte toen hij als softwareontwikkelaar voor een theater werkte. Hij waarschuwde daarop in februari 2023 Carrier Global, zou blijken uit correspondentie die BNR heeft ingezien. SMC werd in juni op de hoogte gebracht. De klokkenluider stapte ook naar de Autoriteit Persoonsgegevens (AP).
Carrier Global waarschuwde klanten na de bevindingen van de klokkenluider, maar deed niets met de server waarop de gegevens te vinden waren. De app die in verbinding stond met die server werd in 2022 al uit appwinkels gehaald. SMC zou niet hebben ingegrepen toen de klokkenluider het bedrijf op de hoogte stelde.
Vorige maand ontdekte de klokkenluider dat het lek ook beveiligingsbedrijf Securitas trof. Dat maakte gebruik van de verouderde systemen van Carrier Global. Securitas sloot het kwetsbare systeem vervolgens. Via het lek bij de beveiliger waren alleen de persoonsgegevens van klanten van het bedrijf online te vinden, geen afmeldcodes.
SMC gooide het systeem pas dicht toen BNR vragen stelde. Dat was ruim een jaar nadat de klokkenluider het lek had ontdekt.
"Ik ben geschokt door de omvang", zegt beveiligingsonderzoeker Matthijs Koot van Secura tegen BNR over het lek.
"Het is zeer kwalijk dat deze alarmcentralesoftware met zulke ernstige kwetsbaarheden aan het internet hangt."
"Dit soort trucs kunnen gebruikt worden door de georganiseerde misdaad en buitenlandse inlichtingendiensten om fysieke toegang tot gebouwen te krijgen", zegt technisch directeur Ralph Moonen van Secura.
SMC reageert tegen BNR dat het onderzoek doet naar het lek. Ook onderzoekt de alarmcentrale waarom het zolang duurde voordat werd ingegrepen.
"Uit voorzorg hebben we een gerenommeerd cybersecuritybedrijf ingeschakeld om onderzoek uit te voeren. Ook hebben we besloten alle afmeldcodes van alle gebruikers te resetten en aanvullende authenticatiemaatregelen genomen", laat een woordvoerder weten aan de radiozender.
Carrier Global laat alleen weten het lek te onderzoeken. De veiligheid van gegevens van klanten is topprioriteit, zegt een woordvoerder.
Securitas zegt sinds vorige week op de hoogte te zijn van het lek en het systeem daarop direct te hebben gesloten. "Wij nemen dit uiterst serieus, omdat veiligheid onze corebusiness is", zegt een woordvoerder. "Veiligheidsprocedures bij Securitas maken het onmogelijk om eenzijdig cruciale gegevens te wijzigen. Daardoor is de veiligheid niet in gevaar geweest."
Securitas heeft melding gemaakt bij de AP.
Source: Nu.nl algemeen