image

SMC en Securitas: geen misbruik van datalek alarmsystemen waargenomen

dinsdag 2 juli 2024, 17:08 door Redactie, 3 reacties

SMC en Securitas hebben geen misbruik waargenomen van een kwetsbaarheid waardoor afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen toegankelijk waren. Daarnaast hebben de bedrijven aanvullende maatregelen genomen, waaronder het inrichten van een nieuw verificatieproces. Dat laat voormalig minister Yesilgöz van Justitie en Veiligheid op vragen van GroenLinks-PvdA weten.

De kwetsbaarheid bevond zich in MAS Mobile Classic, een app van het Amerikaanse bedrijf Carrier Global waarmee installateurs van alarmsystemen gegevens van klanten kunnen opvragen. Het wordt onder andere door alarmcentrale SMC gebruikt. Via het beveiligingslek was het mogelijk voor installateurs om toegang te krijgen tot de gegevens van klanten van andere installateurs.

Het ging onder andere om de codes waarmee de eigenaar van het alarm zich in het geval van een vals alarm bij de centrale kan afmelden, alsmede thuisadressen van ceo's, Quote 500-leden, bekende Nederlanders en zelfs een voormalig minister. Het probleem bleek bij alle alarmcentrales te spelen die van de app gebruikmaakten, waaronder ook die van Securitas.

Carrier Global had de classic versie van de app begin 2022 al uit de appstores van Apple en Google gehaald, maar de kwetsbaarheid in de achterliggende server niet opgelost, waardoor gegevens nog steeds voor ongeautoriseerde installateurs benaderbaar waren. "Heeft u contact gehad met SMC en Securitas over dit incident? Zo ja, welke stappen gaat u de komende periode zetten om dit probleem af te wikkelen? Zo nee, waarom niet?", wilde GroenLinks-PvdA-Kamerlid Kathmann afgelopen april van de minister weten.

De Kamervragen zijn vorige week beantwoord (pdf). De minister meldt dat vanwege de aard en beperkte impact van het lek het Nationaal Cyber Security Centrum (NCSC) geen reden heeft gezien om hierover verdere navraag te doen bij rijksoverheidsorganisaties en vitale aanbieders. "Zowel SMC als Securitas heeft te kennen gegeven dat na eigen onderzoek geen indicatie van actief misbruik van het lek is waargenomen bij bedrijven en andere organisaties die gebruik maken van de systemen van SMC en Securitas", voegt Yesilgöz toe.

De twee bedrijven hebben ook aangegeven aanvullende maatregelen te hebben genomen, zoals het offline halen van kwetsbare systemen, het resetten en verwijderen van de oude afmeldcodes en het inrichten van een nieuw verificatieproces. Volgens de voormalige minister zijn (Rijks)overheidsorganisaties en vitale organisaties daarmee voldoende beschermd.

Alarm uitschakelen

SMC en Securitas dachten in eerste instantie dat via de kwetsbaarheid onrechtmatig toegang verkregen kon worden tot fysieke locaties. Na onderzoek bleek de kwetsbaarheid alleen zogenaamde telefonische afmeldcodes te betreffen richting de centrale. "Om een alarm daadwerkelijk uit te schakelen moet lokaal een code fysiek worden ingevoerd. Deze code is alleen bekend bij de klant en was ook niet onderdeel van de kwetsbaarheid. Zonder het invoeren van deze lokale code kan het alarm niet worden uitgeschakeld", legt Yesilgöz uit.

Reacties (3)
02-07-2024, 20:16 door Anoniem
De meldcode ligt meestal gewoon bij het eerste bureau naast de ingang op een kaartje , even afbellen, oordopjes in en door. Maar denk niet dat de gemiddelde inbreker zo te werk gaat.
03-07-2024, 09:53 door Anoniem
hebben geen misbruik waargenomen
LOL, dat is altijd een mooie, ogen dicht en oordoppen in en je kunt altijd beweren dat je niets hebt gezien
03-07-2024, 11:25 door Anoniem
Beide bedrijven hebben een 2700X certificaat. Dit kun je schijnbaar hebben zonder dat je IT security op orde is.
Ben benieuwt of dit nog terug komt in de 2700X audit..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.