SMC en Securitas hebben geen misbruik waargenomen van een kwetsbaarheid waardoor afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen toegankelijk waren. Daarnaast hebben de bedrijven aanvullende maatregelen genomen, waaronder het inrichten van een nieuw verificatieproces. Dat laat voormalig minister Yesilgöz van Justitie en Veiligheid op vragen van GroenLinks-PvdA weten.

De kwetsbaarheid bevond zich in MAS Mobile Classic, een app van het Amerikaanse bedrijf Carrier Global waarmee installateurs van alarmsystemen gegevens van klanten kunnen opvragen. Het wordt onder andere door alarmcentrale SMC gebruikt. Via het beveiligingslek was het mogelijk voor installateurs om toegang te krijgen tot de gegevens van klanten van andere installateurs.

Het ging onder andere om de codes waarmee de eigenaar van het alarm zich in het geval van een vals alarm bij de centrale kan afmelden, alsmede thuisadressen van ceo's, Quote 500-leden, bekende Nederlanders en zelfs een voormalig minister. Het probleem bleek bij alle alarmcentrales te spelen die van de app gebruikmaakten, waaronder ook die van Securitas.

Carrier Global had de classic versie van de app begin 2022 al uit de appstores van Apple en Google gehaald, maar de kwetsbaarheid in de achterliggende server niet opgelost, waardoor gegevens nog steeds voor ongeautoriseerde installateurs benaderbaar waren. "Heeft u contact gehad met SMC en Securitas over dit incident? Zo ja, welke stappen gaat u de komende periode zetten om dit probleem af te wikkelen? Zo nee, waarom niet?", wilde GroenLinks-PvdA-Kamerlid Kathmann afgelopen april van de minister weten.

De Kamervragen zijn vorige week beantwoord (pdf). De minister meldt dat vanwege de aard en beperkte impact van het lek het Nationaal Cyber Security Centrum (NCSC) geen reden heeft gezien om hierover verdere navraag te doen bij rijksoverheidsorganisaties en vitale aanbieders. "Zowel SMC als Securitas heeft te kennen gegeven dat na eigen onderzoek geen indicatie van actief misbruik van het lek is waargenomen bij bedrijven en andere organisaties die gebruik maken van de systemen van SMC en Securitas", voegt Yesilgöz toe.

De twee bedrijven hebben ook aangegeven aanvullende maatregelen te hebben genomen, zoals het offline halen van kwetsbare systemen, het resetten en verwijderen van de oude afmeldcodes en het inrichten van een nieuw verificatieproces. Volgens de voormalige minister zijn (Rijks)overheidsorganisaties en vitale organisaties daarmee voldoende beschermd.

Alarm uitschakelen

SMC en Securitas dachten in eerste instantie dat via de kwetsbaarheid onrechtmatig toegang verkregen kon worden tot fysieke locaties. Na onderzoek bleek de kwetsbaarheid alleen zogenaamde telefonische afmeldcodes te betreffen richting de centrale. "Om een alarm daadwerkelijk uit te schakelen moet lokaal een code fysiek worden ingevoerd. Deze code is alleen bekend bij de klant en was ook niet onderdeel van de kwetsbaarheid. Zonder het invoeren van deze lokale code kan het alarm niet worden uitgeschakeld", legt Yesilgöz uit.