„Sleutels hotelkamers eenvoudig te hacken”
Even een pasje namaken en ongezien toegang krijgen tot alle kamers in een hotel. Dat is een peulenschil, ontdekte de Finse cyberbeveiliger F-Secure. Onderzoekers van het bedrijf vonden ontwerpfouten in de software van de digitale sleutels. Die worden gebruikt bij miljoenen hotelkamers over de hele wereld. Van een simpel kaartje konden ze een hoofdsleutel maken, waarmee ze elke deur konden openen.
F-Secure maakte gebruik van standaard keycards. Die zijn niet alleen voor gasten van hotels of cruiseschepen, maar ook voor medewerkers, zodat zij een kamer kunnen schoonmaken of een kast kunnen openen. Soms raakt iemand zo’n kaart kwijt en sommige kaarten worden weggegooid als ze verlopen zijn, maar dan staat er nog wel interessante informatie op. Die kaarten kunnen worden gekloond en aangepast, zonder dat iemand het merkt.
De onderzoekers gebruikten een eigen programmaatje en een ‘kopieerapparaat’ dat gewoon op internet te koop is. „We scannen een kaart, lopen naar een gleuf en na een paar minuten heeft dit apparaatje een loper gecreëerd. En daarmee hebben we toegang tot alle kamers in een gebouw”, aldus onderzoeker Tom Van de Wiele van F-Secure.
Of iemand daadwerkelijk al eens misbruik heeft gemaakt van de kwetsbaarheid, is niet bekend. Maar het onderzoek van F-Secure begon als hobby toen een medewerker van het bedrijf zelf werd bestolen. Iemand roofde een laptop uit een hotelkamer, tijdens een congres over beveiliging tien jaar geleden. Het hotel wees de klacht af, omdat er geen sporen van een inbraak waren bij de kamerdeur en in de systemen van het hotel stond niet dat iemand was binnengekomen die er niet mocht zijn. Duizenden uren besteedde F-Secure er naar eigen zeggen aan, met tussenpauzes en „met veel vallen en opstaan”.
F-Secure en de fabrikant van de sleutelkaarten, Assa Abloy, hebben een update gemaakt om het gat te dichten. F-Secure roept hotels op om die te installeren. Van de Wiele: „Als bezoeker kun je hier niets aan doen.”