GroenLinks-PvdA heeft demissionair minister Yesilgöz van Justitie en Veiligheid om opheldering gevraagd over afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen die door een beveiligingslek een jaar lang voor kwaadwillenden toegankelijk waren. Het gaat onder andere om alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en securitybedrijf Fox-IT, zo liet BNR onlangs weten.
De kwetsbaarheid bevond zich in MAS Mobile Classic, een app van het Amerikaanse bedrijf Carrier Global waarmee installateurs van alarmsystemen gegevens van klanten kunnen opvragen. Het wordt onder andere door alarmcentrale SMC gebruikt. Via het beveiligingslek was het mogelijk voor installateurs om toegang te krijgen tot de gegevens van klanten van andere installateurs.
Het ging onder andere om de codes waarmee de eigenaar van het alarm zich in het geval van een vals alarm bij de centrale kan afmelden, alsmede thuisadressen van ceo's, Quote 500-leden, bekende Nederlanders en zelfs een voormalig minister. Het probleem bleek bij alle alarmcentrales te spelen die van de app gebruikmaakten, waaronder ook die van Securitas.
Carrier Global had de classic versie van de app begin 2022 al uit de appstores van Apple en Google gehaald, maar de kwetsbaarheid in de achterliggende server niet opgelost, waardoor gegevens nog steeds voor ongeautoriseerde installateurs benaderbaar waren. "Heeft u contact gehad met SMC en Securitas over dit incident? Zo ja, welke stappen gaat u de komende periode zetten om dit probleem af te wikkelen? Zo nee, waarom niet?", wil GroenLinks-PvdA-Kamerlid Kathmann van de minister weten.
Yesilgöz moet ook duidelijk maken hoeveel overheidsorganisaties en vitale organisaties zijn getroffen, of de overheid getroffen organisaties helpt, of gevoelige locaties en gegevens door de kwetsbaarheid gevaar hebben gelopen en of het Nationaal Cyber Security Centrum (NCSC) of een andere overheidsorganisatie betrokken is bij het onderzoek naar het beveiligingslek. Als laatste moet de minister laten weten wat ze kan doen om het melden van kwetsbaarheden bij het NCSC breder bekend te maken bij mensen die werkzaam in de it-sector zijn. De Kamervragen moeten binnen drie weken zijn beantwoord.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.