Video player inladen ...

Groot veiligheidslek bij elektronische hotelsleutels: "In enkele minuten kunnen we overal binnen"

De elektronische sloten van miljoenen hotelkamers wereldwijd zijn kwetsbaar voor hackers. Dat verneemt onze redactie bij F-Secure. Ethische hackers van het Finse beveiligingsbedrijf ontdekten een achterpoortje in de toegangskaarten van hotels. "Zelfs met een lang vervallen kaart kunnen we in enkele minuten tijd een loper maken die toegang geeft tot het volledige gebouw", vertelt een van de hackers aan VRT NWS. Volgens de slotenmaker lopen hotels die een update doen geen gevaar meer.

De tijd dat u op hotel een ouderwetse sleutel voor uw kamer kreeg, ligt al even achter ons. Ze worden hier en daar nog gebruikt, maar de meeste grote hotels zijn al jaren overgeschakeld naar elektronische kaarten. U krijgt een keycard waarmee u enkel tijdens uw verblijf toegang krijgt tot de kamer. In sommige hotels worden die kaarten ook gebruikt om de lift te bedienen of om ’s avonds laat toch nog het hotel binnen te kunnen.

Maar hoe veilig is dat allemaal? Een team van het Finse beveiligingsbedrijf F-Secure heeft een achterpoortje ontdekt in een van de meest gebruikte systemen. "We hebben ontdekt dat er een ontwerpfout in zit", zegt Tom Van de Wiele, een Vlaming die als ethisch hacker voor het bedrijf werkt, aan VRT NWS. "We gebruiken een vrij in de handel te verkrijgen apparaatje (red. dat gebruikt wordt om elektronische sleutels aan te maken) en hebben daarop onze speciale software gezet."

Het eigenlijke scannen van een kaart duurt maar een paar seconden. Een loperkaart aanmaken op basis daarvan is een kwestie van minuten

Tom Van de Wiele, ethisch hacker

Met dat toestelletje kan zo’n hotelkaart worden gescand. "Het eigenlijke scannen duurt maar een paar seconden", zegt Van de Wiele. "Een loperkaart aanmaken op basis daarvan is een kwestie van minuten. Met die loper kunnen we toegang krijgen tot elke ruimte die beveiligd wordt door hetzelfde systeem." De gescande kaart kan jaren oud zijn, vervallen of gloednieuw. Zolang het van hetzelfde systeem gebruikmaakt, kunnen oplichters met de nodige technische kennis er misbruik van maken.

Lees verder onder de video

Video player inladen ...

Met het apparaatje alleen komt u voor alle duidelijkheid niet ver. Het is de speciaal door de ethische hackers ontwikkelde software die van het achterpoortje in kwestie gebruikmaakt. De details van die software en van het achterpoortje zelf geven ze vanzelfsprekend om veiligheidsredenen niet prijs.

Lees verder onder de grafiek

Zo werkt het

Update is de oplossing

Het veiligheidsprobleem is een jaar geleden ontdekt. De ethische hackers hebben dat daarop gemeld aan het bedrijf dat de elektronische sleutels produceert en verdeelt. Het gaat om Assa Abloy, de grootste slotenfabrikant ter wereld. "Er zou sprake zijn van tientallen miljoenen sloten in meer dan 150 landen", zegt Van de Wiele over de omvang.

Er zou sprake zijn van tientallen miljoenen sloten in meer dan 150 landen

Tom Van de Wiele, ethisch hacker

De afgelopen maanden is samen met het bedrijf hard gewerkt aan een oplossing en de software-update is sinds februari beschikbaar. De uitrol wordt een werk van lange adem. "De update moet slot per slot gebeuren", zegt Van de Wiele. "En er moet een update gebeuren op de computer die de toegang beheert."

Slotenmaker reageert

Of het achterpoortje ook effectief gebruikt is door mensen met slechte bedoelingen is niet duidelijk. We hebben Assa Abloy Hospitality vanmiddag gecontacteerd voor een reactie. Op onze specifieke vragen over de Belgische hotels hebben ze niet geantwoord. Ze hebben vanavond wel een schriftelijke algemene mededeling vrijgegeven.

De slotenmaker benadrukt in die mededeling vooral dat de problemen zijn opgelost en dat de hotels die de update hebben doorgevoerd geen gevaar meer lopen. Bovendien onderlijnt het bedrijf dat het systeem in kwestie al 20 jaar oud is en dat het jarenlang werk geweest is van de hackers van F-Secure om het te kraken.

Het zou gespecialiseerde hackers jaren kosten om dit opnieuw te doen. (...) Het is niet zo dat je een hotel binnenwandelt en zomaar overal binnen kunt

Assa Abloy Hospitality in een mededeling

"Alle digitale apparaten en toepassingen lopen het risico gehackt te worden", klinkt het. "Het zou gespecialiseerde hackers jaren kosten om dit opnieuw te doen, omdat F-Secure niet bekend maakt hoe ze het gedaan hebben. Het is dus niet zo dat je nu een hotel binnenwandelt en zomaar overal binnen kunt."

Assa Abloy Hospitality laat verder weten dat ze intussen nieuwe en meer geavanceerde technologie verkopen en dat de sloten in kwestie "in sneltempo worden vervangen". "We blijven onze beveiliging voortdurend monitoren om alles veilig te houden."

Video player inladen ...