Hotelkamers te openen door lek in sleutelsysteem

Een elektronisch sleutelsysteem dat in miljoenen kamers in hotels en op cruiseschepen wordt gebruikt bleek te hacken.

Het beveiligingslek is ontdekt door onderzoekers van het Finse bedrijf F-secure. De hack was mogelijk door een fout in de software van de digitale sleutels. Met behulp van één pasje was een keycard na te maken die als hoofdsleutel werkte. Daarmee waren alle deuren in het gebouw met het systeem te openen.

Het gaat om het elektronische sleutelsysteem Vision by VingCard van het bedrijf Assa Abloy, 's werelds grootste slotenmaker. Dit systeem wordt in hotels en cruiseschepen van meerdere grote bedrijven gebruikt, waaronder in Nederland. Volgens F-Secure zijn er miljoenen kamerdeuren die ermee werken. De onderzoekers wisten de hoofdsleutel te maken met een eigen programmaatje en een apparaatje waarmee pasjes zijn te klonen. Dat apparaatje is makkelijk verkrijgbaar voor een paar honderd euro. De hack was uit te voeren zonder dat iemand dat kon opmerken.

Het is niet bekend of er misbruik van het beveiligingslek is gemaakt. F-Secure maakt het hackprogrammaatje niet openbaar. “Je kunt je voorstellen wat iemand van kwade wil zou kunnen doen als die elke hotelkamer kan binnenkomen met een hoofdsleutel die praktisch uit het niets is gereproduceerd”, zegt Tomi Tuominen, practice leader bij F-Secure.

Assa Abloy heeft een software-update uitgebracht die het beveiligingslek moet dichten. Tuominen: "We raden elk hotel dat deze software gebruikt aan om de beveiligingsupdates zo snel mogelijk te installeren." 

De beveiligingsupdate is nog niet doorgevoerd in alle hotels met het getroffen systeem, zegt een woordvoerder van Assa Abloy tegen Bright. "We werken hier sinds het begin van dit jaar aan en dit werk is nog niet afgerond. We hebben geen exacte cijfers voor Nederland."