Duizenden alarmsystemen konden een jaar lang op afstand worden afgemeld. Oorzaak was een lek in software van Carrier Global die in Nederland onder meer door de alarmcentrale SMC wordt gebruikt.
Softwareontwikkelaar Joris Talma bracht het lek bij BNR onder de aandacht nadat meerdere waarschuwingen aan SMC en Carrier Global op dovemansoren vielen. 'Ik heb hier al een jaar lang buikpijn van', zegt klokkenluider Talma.
Volgens SMC is er 'geen indicatie' dat er misbruik is gemaakt van het lek, maar onderzoek van BNR toont de massieve omvang ervan aan. Minstens 26.000 actieve Nederlandse beveiligingssystemen van alarmcentrale SMC zijn aangetast. Hieronder bevinden zich alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en zelfs Fox-IT, een bedrijf dat staatsgeheimen bewaart. Van grote retailers zijn vaak tientallen vestigingen tegelijk getroffen. De duizenden gecompromitteerde systemen zijn mogelijk slechts het topje van de ijsberg: de gewraakte software was ook bij andere alarmcentrales in gebruik.
Het lek bevond zich in een app die installateurs van alarmcentrales gebruiken om toegang te krijgen tot gegevens van hun eigen klantenbestand: MAS Mobile Classic, een product van het Amerikaanse bedrijf Carrier Global. Onder die gegevens bevonden zich ook de zogenaamde 'afmeldcodes' van 14.000 locaties beveiligd door SMC. Dit zijn wachtwoorden waarmee de eigenaar van een alarmsysteem zich bij de centrale kenbaar kan maken om een vals alarm te melden. De politie wordt dan niet gewaarschuwd.
Door een fout in de software van de server waarop de app de data bewaarde, waren de geheime gegevens online toegankelijk. Naast afmeldcodes waren ook de thuisadressen van CEOs, Quote 500-leden, BN'ers en zelfs een voormalig minister opvraagbaar. Prominenten kregen van SMC een aparte aanduiding, wat ze makkelijker vindbaar maakte in de berg gegevens.
BNR nam contact op met enkele getroffenen en kon zo verifiëren dat veel gegevens correct en actueel waren. Geen van hen wilde bij naam genoemd worden, maar het lek stuitte op boosheid en onbegrip bij de eigenaren van de alarmsystemen. 'Zeer kwalijk', liet een van de getroffen prominenten weten. 'En onvoorstelbaar dat men zo lang gewacht heeft mensen op de hoogte te stellen.' Een van de Quote 500-leden kondigde aan contact op te nemen met de directie van SMC.
Klokkenluider Talma ontdekte het lek begin 2023 bij werkzaamheden die hij verrichte voor een klein theater in het oosten des lands, dat klant is bij alarmcentrale SMC. De softwareontwikkelaar zocht toen naar een methode om de verlichting in het theater automatisch uit te zetten als iemand het alarmsysteem voor het weekend activeerde. 'Je wordt dan creatief', aldus Talma. Per toeval stuitte hij zo op de mogelijkheid via de alarminstallateurs-app toegang te krijgen tot gegevens van andere klanten van de alarmcentrale. 'Een faliekante fout van de ontwerper.' Talma begreep meteen de implicaties van zijn ontdekking en waarschuwde februari vorig jaar Carrier Global, zo blijkt uit correspondentie die BNR heeft ingezien. In juni meldde hij het lek ook bij SMC.
Carrier had de gewraakte app begin 2022 al uit de appwinkels van Google en Apple verwijderd. Het bedrijf liet het lek in de server die de app ondersteunde echter ongemoeid, waardoor Talma een jaar later nog bij geheime gegevens kon. Na Talmas melding waarschuwde Carrier weliswaar zijn klanten, het lek werd niet gedicht. SMC trad ook niet effectief op.
Omdat actie uitbleef trok Talma meerdere malen aan de bel bij de Autoriteit Persoonsgegevens, wederom zonder resultaat.
Omdat Talma inmiddels vermoedde dat alle alarmcentrales die gebruik maakten van de MAS Mobile Classic App kwetsbaar waren, deed hij vorige maand ook onderzoek naar systemen van Securitas. Hier bleken ook gegevens van tienduizenden alarmsystemen toegankelijk, alhoewel afmeldcodes niet opvraagbaar waren. Het lek beperkte zich tot persoonsgegevens. Talma stelde dit bedrijf ook op de hoogte. Securitas gooide kort hierna het kwetsbare systeem op slot.
SMC deed dit pas na vragen van BNR, bijna een jaar na de eerste melding van klokkenluider Talma.
BNR vroeg onafhankelijke deskundigen het lek te verifiëren. 'Ik ben geschokt door de omvang', zegt beveiligingsonderzoeker Matthijs Koot van Secura. 'Het is zeer kwalijk dat deze alarmcentrale-software met zulke ernstige kwetsbaarheden aan het internet hangt.' 'Dit soort trucs kunnen gebruikt worden door de georganiseerde misdaad en buitenlandse inlichtingendiensten om fysieke toegang tot gebouwen te krijgen', zegt technisch directeur Ralph Moonen.
GroenLinks-PvdA eist onderzoek naar lek
Tweede Kamerlid Barbara Kathmann (GroenLinks-PvdA) eist dat de minister van Justitie en Veiligheid de kwestie onderzoekt. 'We moeten heel goed gaan kijken hoe groot dit lek nou eigenlijk is, of er nog meer alarmcentrales betrokken zijn en hoe dit überhaupt heeft kunnen gebeuren', aldus Kathmann. Zij vindt het vooral pijnlijk dat klokkenluider Talma niet gehoord werd. 'De allergrootste schok is dat het een jaar geduurd heeft', zegt Kathmann. 'Meldschaamte is een groot gevaar, want cybercrime kost ons miljarden. Nu doet iemand een keer wat en dan gebeurt er niets.'
SMC doet nog onderzoek naar de omvang van het lek en waarom het zo lang geduurd heeft voordat adequaat werd ingegrepen. Volgens de alarmcentrale is het lek inmiddels gedicht en is er 'geen indicatie' dat kwaadwillenden ervan misbruik hebben gemaakt.
'Uit voorzorg hebben we een gerenommeerd cybersecuritybedrijf ingeschakeld om onderzoek uit te voeren en hebben we besloten alle afmeldcodes van alle gebruikers te resetten en aanvullende authenticatiemaatregelen genomen', laat een woordvoerder weten. 'Ons verificatie- en beveiligingsproces bevat overigens meerdere niveaus, waarvan de afmeldcode slechts een onderdeel uitmaakt.'
Een woordvoerder laat weten dat het bedrijf 'bekend is met het probleem' en momenteel de zaak verder onderzoekt. 'De veiligheid van de gegevens van onze klanten is altijd topprioriteit', aldus Carrier.
Securitas zegt pas vorige week op de hoogte te zijn gesteld van het lek. Een woordvoerder laat weten dat meteen daarna actie is ondernomen door het systeem dat toegang gaf tot de klantgegevens tijdelijk uit te zetten. 'Wij nemen dit uiterst serieus, omdat veiligheid onze core business is', aldus de woordvoerder. 'Veiligheidsprocedures bij Securitas maken het onmogelijk om eenzijdig cruciale gegevens te wijzigen. Daardoor is de veiligheid niet in gevaar geweest.'
Securitas zegt melding te hebben gedaan van het lek bij de Autoriteit Persoonsgegevens