Software alarmsysteem lekte jaar lang duizenden adressen en afmeldcodes
Afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen waren door een beveiligingslek een jaar lang voor kwaadwillenden toegankelijk. Het gaat onder andere om alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en securitybedrijf Fox-IT. Dat meldt BNR dat door een softwareontwikkelaar over het probleem werd ingelicht.
De kwetsbaarheid bevond zich in MAS Mobile Classic, een app van het Amerikaanse bedrijf Carrier Global waarmee installateurs van alarmsystemen gegevens van klanten kunnen opvragen. Het wordt onder andere door alarmcentrale SMC gebruikt. Via het beveiligingslek was het mogelijk voor installateurs om toegang te krijgen tot de gegevens van klanten van andere installateurs.
Het ging onder andere om de codes waarmee de eigenaar van het alarm zich in het geval van een vals alarm bij de centrale kan afmelden, alsmede thuisadressen van ceo's, Quote 500-leden, bekende Nederlanders en zelfs een voormalig minister. Prominente klanten waren door SMC voorzien van een aparte aanduiding, waardoor ze eenvoudiger in de gegevens te vinden waren.
BNR stelt dat door de kwetsbaarheid gegevens van 26.000 actieve Nederlandse beveiligingssystemen waren op te vragen. De softwareontwikkelaar ontdekte het probleem begin 2023 toen hij naar een methode zocht om de verlichting bij een klant automatisch uit te zetten als iemand het alarmsysteem voor het weekend activeerde. Na ontdekking van de kwetsbaarheid informeerde hij vorig jaar februari Carrier Global en in juni SMC.
Carrier Global had de classic versie van de app begin 2022 al uit de appstores van Apple en Google gehaald, maar de kwetsbaarheid in de achterliggende server niet opgelost, waardoor gegevens nog steeds voor ongeautoriseerde installateurs benaderbaar waren. Vervolgen stapte de softwareontwikkelaar naar de Autoriteit Persoonsgegevens, maar ook dat had geen resultaat.
Het probleem bleek bij alle alarmcentrales te spelen die van de app gebruikmaakten, waaronder ook die van Securitas. Ook hier bleken gegevens van tienduizenden alarmsystemen toegankelijk, maar waren afmeldcodes niet opvraagbaar. In het geval van SMC ging het om veertienduizend afmeldcodes. Bij Securitas betrof het alleen persoonsgegevens van klanten. Na te zijn ingelicht heeft Securitas het systeem tijdelijk uitgezet en melding gemaakt bij de Autoriteit Persoonsgegevens.
"Het is een type lek dat we wel vaker zien bij bepaalde type software. In die zin is het dan ook vaak niet zo moeilijk om te vinden. Dan moet je je voorstellen dat je bijvoorbeeld een verzoek doet en een klantnummer aanpast of iets dergelijks en dan de gegevens van andere klanten kunt inzien. Iets dergelijks was daar dus ook aan de hand, waardoor de afmeldcodes zichtbaar waren", zegt Ralph Moonen van securitybedrijf Secura. Dit lijkt te suggereren dat het om een IDOR-kwetsbaarheid gaat.
Volgens SMC is er 'geen indicatie' dat kwaadwillenden misbruik van het systeem hebben gemaakt. Het bedrijf heeft de afmeldcodes van alle gebruikers gereset en 'aanvullende authenticatiemaatregelen' genomen. Carrier Global zegt de zaak in onderzoek te hebben.
Zelf beheerde van een PAC geweest. Dit soort systemen hang je niet aan internet. Punt.
Natuurlijk vet handig als see-ay-eej no-sutjs-agency om op deze manier elk gebouw binnen te komen om te kijken of wat deze bedrijven zeggen ook daadwerkelijk is wat ze kunnen vinden...
met vrienden als dit heb je geen vijanden nodig..
weet je ook meteen waarom ze zo hameren op anti-china apparatuur.. daar kun je veel minder makkelijk backdoors in stoppen... best case, de chinezen zien het, worst case, chinezen zien het en gaan meekijken zonder dat je weet dat ze meekijken.
wil kennelijk niemand echt weten, want het kan razend snel gaan.
Maar ja toch lekker handig, doe het van thuis uit.
De ellende komt niet ineens, maar wel heel snel.
luntrus
https://reports.exodus-privacy.eu.org/en/reports/app.mas.masmobile/latest
Daar missen toch details dat dit bv al vorig jaar juni bekend was bij SMC.
Je huisnetwerk via het stopcontact gewoon via het electriciteitsnet, ken je die tijd nog? Internet via je stopcontact, handige jongens deden dat. Ziggo heeft het ook nog een tijdje aangeboden. Dat is voor handige jongens weer leuk als de hele straat dat doet.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
