Hackers kunnen miljoenen hotelkamers openen met speciale loper
Hoewel je bij hacker vaak denkt aan duistere mannetjes die op je computer willen inbreken, zou de hotel industrie volgens alle beveiligingsfirma’s één van de grootste doelwitten zijn voor hackers. Twee hackers wisten zelfs een tijdje geleden een systeem te maken, waarbij ze in onder een minuut een hotelsleutel konden klonen om er een loper van te maken. Gelukkig ging het om “goede” hackers die werken voor de internationale cybersecurity firma F-Secure.
Designfout in gebruikte software
De hackers in kwestie zijn Tomi Tuominen en Timo Hirvonen. De twee mannen wisten een designfout te vinden in de software van de elektronische sleutels van het bedrijf VingCard. Helaas zorgt dit bedrijf in meer dan 166 landen en 40.000 gebouwen voor de vergrendeling van de deuren, wat neerkomt op miljoenen risicovolle deuren.
Net als in Terminator 2
Hoewel je wel vaker hoort dat hotelsleutels gekloond kunnen worden, hebben we in dit geval te maken met een bijzondere hack. Ze konden namelijk elke willekeurige VingCard hotelsleutel gebruiken om te klonen tot loper. Zelfs sleutels die niet meer geldig waren. Ze vergelijken hun methode met een scène uit Terminator 2, waarin John Connor een kluis kraakt met een Atari Portfolio computer.
Van normale hotelsleutel tot loper
Normaal gesproken kun je alleen een exacte kopie van de sleutel maken. Dit kan gewoon op afstand gebeuren met een RFID scanner. Tuominen en Hirvonen konden echter met hun aangepaste Proxmark firmware in onder een minuut elke sleutel met de VingCard Vision software veranderen naar een loper om alle kamers te kunnen openen.
Ook toegang tot gevoelige gegevens
Hoewel het al schokkend is dat miljoenen hotelkamers door de hackers geopend konden worden, kwamen ze erachter dat ze nog meer met hun vondst konden doen. Binnen hetzelfde netwerk konden ze via de Vision software ook nog toegang verkrijgen tot gevoelige informatie van gasten. Door een netwerkkabel van de receptie computer te gebruiken, konden ze alle informatie inzien met betrekking tot de sleutels, waaronder ook welke medewerker hem had aangemaakt.
Deur voor deur beveiliging verbeteren
Gelukkig zijn het hackers van een beveiligingsfirma die hier achter zijn gekomen en geen mensen die er daadwerkelijk iets slechts mee willen doen. De firma laat niet alles vrij over de hack, zodat anderen de aanval niet kunnen nabootsen. Inmiddels helpt F-Secure de getroffen hotels om hun veiligheidsprobleem op te lossen. Vingcard, wat tegenwoordig Assa Abloy heet, werkt samen met de hackers om meer te leren over de aanval en om hun software te verbeteren.
Ben je zelf bang dat je gehackt bent? Dit zijn de tekenen.
