image

Software alarmsysteem lekte jaar lang duizenden adressen en afmeldcodes

donderdag 11 april 2024, 09:32 door Redactie, 9 reacties

Afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen waren door een beveiligingslek een jaar lang voor kwaadwillenden toegankelijk. Het gaat onder andere om alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en securitybedrijf Fox-IT. Dat meldt BNR dat door een softwareontwikkelaar over het probleem werd ingelicht.

De kwetsbaarheid bevond zich in MAS Mobile Classic, een app van het Amerikaanse bedrijf Carrier Global waarmee installateurs van alarmsystemen gegevens van klanten kunnen opvragen. Het wordt onder andere door alarmcentrale SMC gebruikt. Via het beveiligingslek was het mogelijk voor installateurs om toegang te krijgen tot de gegevens van klanten van andere installateurs.

Het ging onder andere om de codes waarmee de eigenaar van het alarm zich in het geval van een vals alarm bij de centrale kan afmelden, alsmede thuisadressen van ceo's, Quote 500-leden, bekende Nederlanders en zelfs een voormalig minister. Prominente klanten waren door SMC voorzien van een aparte aanduiding, waardoor ze eenvoudiger in de gegevens te vinden waren.

BNR stelt dat door de kwetsbaarheid gegevens van 26.000 actieve Nederlandse beveiligingssystemen waren op te vragen. De softwareontwikkelaar ontdekte het probleem begin 2023 toen hij naar een methode zocht om de verlichting bij een klant automatisch uit te zetten als iemand het alarmsysteem voor het weekend activeerde. Na ontdekking van de kwetsbaarheid informeerde hij vorig jaar februari Carrier Global en in juni SMC.

Carrier Global had de classic versie van de app begin 2022 al uit de appstores van Apple en Google gehaald, maar de kwetsbaarheid in de achterliggende server niet opgelost, waardoor gegevens nog steeds voor ongeautoriseerde installateurs benaderbaar waren. Vervolgen stapte de softwareontwikkelaar naar de Autoriteit Persoonsgegevens, maar ook dat had geen resultaat.

Het probleem bleek bij alle alarmcentrales te spelen die van de app gebruikmaakten, waaronder ook die van Securitas. Ook hier bleken gegevens van tienduizenden alarmsystemen toegankelijk, maar waren afmeldcodes niet opvraagbaar. In het geval van SMC ging het om veertienduizend afmeldcodes. Bij Securitas betrof het alleen persoonsgegevens van klanten. Na te zijn ingelicht heeft Securitas het systeem tijdelijk uitgezet en melding gemaakt bij de Autoriteit Persoonsgegevens.

"Het is een type lek dat we wel vaker zien bij bepaalde type software. In die zin is het dan ook vaak niet zo moeilijk om te vinden. Dan moet je je voorstellen dat je bijvoorbeeld een verzoek doet en een klantnummer aanpast of iets dergelijks en dan de gegevens van andere klanten kunt inzien. Iets dergelijks was daar dus ook aan de hand, waardoor de afmeldcodes zichtbaar waren", zegt Ralph Moonen van securitybedrijf Secura. Dit lijkt te suggereren dat het om een IDOR-kwetsbaarheid gaat.

Volgens SMC is er 'geen indicatie' dat kwaadwillenden misbruik van het systeem hebben gemaakt. Het bedrijf heeft de afmeldcodes van alle gebruikers gereset en 'aanvullende authenticatiemaatregelen' genomen. Carrier Global zegt de zaak in onderzoek te hebben.

Reacties (9)
11-04-2024, 10:07 door Anoniem
Alles aan internet. Want dat is zooooooo handig!
Zelf beheerde van een PAC geweest. Dit soort systemen hang je niet aan internet. Punt.
11-04-2024, 11:16 door Anoniem
Gezien de enorme absurde pogingen om dit af te doen als 'nothing to see here' lijkt me dit een gewenste backdoor van een amerikaanse 3 letter afk...
Natuurlijk vet handig als see-ay-eej no-sutjs-agency om op deze manier elk gebouw binnen te komen om te kijken of wat deze bedrijven zeggen ook daadwerkelijk is wat ze kunnen vinden...
met vrienden als dit heb je geen vijanden nodig..

weet je ook meteen waarom ze zo hameren op anti-china apparatuur.. daar kun je veel minder makkelijk backdoors in stoppen... best case, de chinezen zien het, worst case, chinezen zien het en gaan meekijken zonder dat je weet dat ze meekijken.
11-04-2024, 12:15 door Anoniem
Yep, licht bediening aan Internet. Camera's aan internet . Toegangssystemen aan Internet . Televisies aan Internet . Lockersystemen aan Internet. En nu maar hopen dat ze regelmatig geupdate worden en in een apart VLAN zitten.....
11-04-2024, 12:27 door Anoniem
Hoe snel led-lampjes van een aan internet gehangen systeem bijv. malware kunnen verspreiden,
wil kennelijk niemand echt weten, want het kan razend snel gaan.
Maar ja toch lekker handig, doe het van thuis uit.
De ellende komt niet ineens, maar wel heel snel.

luntrus
11-04-2024, 12:36 door Anoniem
Daarom kun je als stelregel aanhouden dat bedrijven die trackers van Google gebruiken; privacy niet serieus nemen.
https://reports.exodus-privacy.eu.org/en/reports/app.mas.masmobile/latest
11-04-2024, 21:46 door Anoniem
Opvallend een CVE van 2023 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36483
11-04-2024, 22:26 door Anoniem
Dit wijkt dan toch wel van wat SMC heeft gedeeld met de klanten. Op woensdag een mail gekregen met het bericht wat hier te lezen is: https://smc-monitoring.com/nl-nl/faq
Daar missen toch details dat dit bv al vorig jaar juni bekend was bij SMC.
12-04-2024, 06:58 door Anoniem
Daar [s]missen[/s]ontbreken toch details dat dit bv al vorig jaar juni bekend was bij SMC.
En? Verbaasd?
14-04-2024, 19:57 door Anoniem
Door Anoniem: Yep, licht bediening aan Internet. Camera's aan internet . Toegangssystemen aan Internet . Televisies aan Internet . Lockersystemen aan Internet. En nu maar hopen dat ze regelmatig geupdate worden en in een apart VLAN zitten.....

Je huisnetwerk via het stopcontact gewoon via het electriciteitsnet, ken je die tijd nog? Internet via je stopcontact, handige jongens deden dat. Ziggo heeft het ook nog een tijdje aangeboden. Dat is voor handige jongens weer leuk als de hele straat dat doet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.