F-Secure waarschuwt voor onveilige hotelsleutels

26 april 2018 10:49 | Suzanne Martens
Topic Security
Dit artikel delen:

De software achter het zogenaamde Vision-elektronische sleutelsysteem voor hotelkamers bevat een ontwerpfout. Hiermee kan het systeem gehackt worden om zo toegang krijgen tot alle hotelkamers. Daarvoor waarschuwt F-Secure. De fabrikant van het beveiligingssysteem, Assa Abloy Hospitality, heeft beveiligingsupdates beschikbaar gesteld.

Voor het onderzoek werd informatie verzameld van een standaard elektronische keycard die bijvoorbeeld verlopen of afgedankt is. Op basis van deze data konden de onderzoekers deze toegangskaart omtoveren tot een hoofdsleutel die beschikt over toegangsrechten voor het openen van elke deur in het gebouw.

‘De kwetsbaarheden die werden aangetroffen omvatten geen in het oog springende beveiligingslekken. Er was diepgaand inzicht nodig in het ontwerp van het complete systeem om kleine gebreken te vinden die in combinatie de hack mogelijk maakten. We combineerden deze gebreken op creatieve wijze om een methode te ontwikkelen voor het creëren van hoofdsleutels’, aldus Tomi Tuominen, practice leader bij F-Secure Cyber Security Services. Het onderzoek nam duizenden uren in beslag en vond met tussenpauzes plaats.

Onderzoekers van F-Secure vonden de ontwerpfout in Vision, een product van Assa Abloy Hospitality (voorheen bekend als Vingcard). Dat is een fabrikant van elektronische beveiligingssystemen, onder meer voor hotels. Volgens F-Secure wordt deze software door miljoenen hotelkamers wereldwijd gebruikt. De fabrikant is op de hoogte gesteld van de onderzoeksbevindingen en heeft het afgelopen jaar in samenwerking met F-Secure beveiligingsupdates om de kwetsbaarheden te dichten ontwikkeld. De updates zijn beschikbaar gesteld aan hotels die het systeem gebruiken.

Aanleiding onderzoek

De belangstelling van de onderzoekers voor het hacken van sloten van hotelkamers werd tien jaar geleden gewekt, toen de laptop van een collega uit een hotelkamer werd gestolen tijdens een beveiligingscongres. Toen zij melding maakten van de diefstal, wees het hotelpersoneel de klacht van de hand omdat er geen enkel teken van braak was en er in de logbestanden van het sleutelsysteem geen bewijs werd aangetroffen van ongeoorloofde toegang tot de hotelkamer. De onderzoekers besloten daarop om nader onderzoek te doen en kozen voor een digitaal sleutelsysteem van een merk dat bekend stond om zijn kwaliteit en veiligheid.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder

F-Secure neemt branchegenoot MWR Security over

19 juni 2018 13:24

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Meer Nieuws
 
Meer Security
 
Whitepapers
Cyber AI Response: Threat Report 2019
Cyber AI Response: Threat Report 2019
De toekomst van uw bedrijfskritische applicaties
Relined verzorgt betrouwbaar netwerk Aventus
Veilig dataverkeer Deventer Ziekenhuis dankzij Relined en Fujitsu

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-04-26T10:49:00.000Z Suzanne Martens
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.