Miljoenen hotelkamers te openen door lek in sleutelsysteem

Een elektronisch sleutelsysteem dat door hotelketens wordt gebruikt bevatte een beveiligingslek. Daardoor waren alle kamers met een nagemaakte pas te openen.

Het beveiligingslek is ontdekt door onderzoekers van het Finse bedrijf F-secure. De hack was mogelijk door een fout in de software van de digitale sleutels. Met behulp van één pasje van een hotel, dat niet meer geldig hoefde te zijn, was een keycard na te maken die als hoofdsleutel werkte. Daarmee waren alle deuren in het gebouw die met het sleutelsysteem werkten te openen.

Miljoenen deuren

Het gaat om het elektronische sleutelsysteem Vision by VingCard van het bedrijf Assa Abloy, 's werelds grootste slotenmaker. Dit systeem wordt in hotels en cruiseschepen van meerdere grote bedrijven gebruikt, waaronder in Nederland. Volgens F-Secure zijn er miljoenen kamerdeuren met dit systeem.

De onderzoekers wisten de hoofdsleutel te maken met een eigen programmaatje en een apparaatje waarmee pasjes zijn te klonen. Dat apparaatje is makkelijk verkrijgbaar voor een paar honderd euro. De hack was uit te voeren zonder dat iemand dat kon opmerken.

Het is niet bekend of er misbruik van het beveiligingslek is gemaakt. F-Secure maakt het hackprogrammaatje niet openbaar. “Je kunt je voorstellen wat iemand van kwade wil zou kunnen doen als die elke hotelkamer kan binnenkomen met een hoofdsleutel die praktisch uit het niets is gereproduceerd”, zegt Tomi Tuominen, practice leader bij F-Secure.

Software-update

Assa Abloy heeft een software-update uitgebracht die het beveiligingslek moet dichten. Tuominen: "We raden elk hotel dat deze software gebruikt aan om de beveiligingsupdates zo snel mogelijk te installeren." 

De beveiligingsupdate is nog niet doorgevoerd in alle hotels met het getroffen systeem, zegt een woordvoerder van Assa Abloy tegen Bright. "We werken hier sinds het begin van dit jaar aan en dit werk is nog niet afgerond. We hebben nog geen exacte cijfers voor Nederland."

Bron: Bright.nl