Door een beveiligingslek in het alarmsysteem van ABUS, kunnen criminelen het systeem uitschakelen voordat ze inbreken. Tevens is het mogelijk om camerabeelden te bekijken en manipuleren. Het beveiligingsbedrijf laat in een reactie weten dat het lek in januari is gedicht.
Beveiligingslek
Cybersecuritydeskundige Niels Teusink van EYE Security ontdekte het beveiligingslek begin november vorig jaar. Tegenover RTL Nieuws laat hij zien hoe eenvoudig het is om het alarmsysteem Secvest van de fabrikant ABUS over te nemen. En wat je er allemaal mee kunt als je eenmaal bent ingelogd, is niet mis.
Teusink laat zien dat het mogelijk is om de geïnstalleerde beveiligingscamera’s in- en uit te schakelen. Boeven kunnen ook de camerabeelden bekijken en manipuleren. Zo is het mogelijk om een lege woonkamer in beeld te brengen terwijl er in werkelijkheid een inbreker rondloopt. Klanten die via de app de camerabeelden bekijken, zien een lege kamer.
Verder laat Teusink zien dat hij met een druk op de knop de alarmsirene kan aan- en uitzetten. Boeven kunnen achter de schermen ook stiekem met de beveiligingscamera’s meekijken. Zo zien ze van een veilige afstand wanneer de bewoners hun huis verlaten en zij hun slag kunnen slaan.
Volgens RTL Nieuws zijn er in heel Europa meer dan 10.000 van dit soort alarmsystemen aangesloten op het internet. Het blijkt relatief eenvoudig om via internet te achterhalen waar de kwetsbare systemen hangen. De systemen tonen de namen van de eigenaren, IP-adressen en soms ook woonadressen.
Makkelijk voor inbrekers
“Je weet waar mensen wonen, kan in het systeem zien wanneer mensen vaak niet thuis zijn en vervolgens live checken op de camerabeelden wat voor dure spullen er in huis staan en of iemand überhaupt thuis is. En als klap op de vuurpijl zet je het alarm uit voordat je inbreekt. Terwijl je dit doet, kan je het zo aanpakken dat in de app alles in orde lijkt”, aldus Teusink.
In Nederland zijn er bijna 300 huizen en bedrijven die kwetsbaar zijn voor het beveiligingslek, terwijl dat helemaal nergens voor nodig is. Toen Teusink het beveiligingslek aankaartte bij ABUS, dichtte de fabrikant het lek via een patch. Het enige dat klanten hoeven te doen is een software-update te installeren. Deze staat sinds 22 januari klaar, maar klanten en een aantal installatie monteurs waren daarvan niet op de hoogte gesteld door ABUS.
RTL Nieuws sprak een aantal gedupeerden. De meesten wisten niet eens dat er een veiligheidsissue was, laat staan dat er een beveiligingsupdate klaarstond. Ze zijn daarvan nooit op de hoogte gesteld door ABUS. Ook meerdere verkooppunten gaven aan niets te weten van een beveiligingslek in de software.
Je moet klanten hierover informeren
Gerard Spierenburg van de Consumentenbond verwijt de fabrikant nalatigheid. “Er is hier een product in de markt, dat ernstige kwetsbaarheden bevat. Dan kun je als fabrikant niet stil blijven. Je moet je klanten hierover informeren. Dat ze dat niet hebben gedaan, is hen aan te rekenen.”
RTL Nieuws heeft contact opgenomen met ABUS en om een reactie gevraagd. Het beveiligingsbedrijf laat weten dat het een januari een firmware-update heeft aangeboden die het lek dicht. “Wij moesten echter constateren dat enkele van onze installateurs deze informatie over de beschikbare release niet hebben ontvangen. Wij zullen vandaag opnieuw beginnen te communiceren en onze partners gericht informeren.”
Op de vraag waarom ABUS niet met haar klanten heeft gecommuniceerd over het beveiligingslek, krijgt RTL Nieuws geen antwoord. Zelfs niet na meerdere verzoeken. ABUS belooft in ieder geval beterschap en klanten te informeren over de update. Het is te hopen dat de fabrikant dat in de toekomst direct doet.
Hoe een valse reboot aanval voet aan de grond krijgt in het besturingssysteem van een smartphone
Om er absoluut zeker van te zijn dat uw telefoon u niet trackt of gesprekken afluistert, kunt u hem uitzetten. Dat lijkt logisch, want op die manier kan uw telefoon niets doen, zelfs niet als de telefoon geïnfecteerd is met ernstige spyware.
Drie kennissessies over de cyberrisico's bij procesautomatisering
Eind 2021 organiseerden diverse partijen - waaronder het CIP - drie kennissessies over de cyberrisico's bij procesautomatisering. Van deze sessies zijn nu ook podcasts beschikbaar. Zeker ook interessant voor overheden!
Aantal cyberaanvallen steeg in 2021 met 50% vergeleken met een jaar eerder
Het aantal cyberaanvallen per week steeg in 2021 met 50% vergeleken met een jaar eerder, stellen cybersecurity onderzoekers. In het vierde kwartaal was er een recordhoogte van 925 aanvallen per week per organisatie wereldwijd. Dit melden onderzoekers van Check Point, een multinationaal IT-securitybedrijf.
Cryptogeld gelinkt aan criminelen bereikte een record bedrag van 12,3 miljard euro in 2021
Een stijging van 45% ten opzichte van 2020. Toen was het bedrag $ 7,8 miljard (6,8 miljard euro). Volgens Chainalysis was 'DeFi' het zwaarst getroffen segment van crypto en 'Rug pulls' was goed voor meer dan $2,8 miljard (2,4 miljard euro) van het gestolen geld.
"Banken moeten de optimale voorwaarden creëren zodat hun klanten veilig kunnen bankieren"
Banken moeten meer doen om te voorkomen dat klanten het slachtoffer worden van helpdesk fraude of spoofing. Het zelf kunnen verlagen van de overboeklimiet is een van maatregelen die klanten noemen om fraude tegen te gaan. Banken mogen dit signaal niet negeren.
Overzicht cyberaanvallen week 01-2022
Night Sky is de nieuwste ransomware gericht op bedrijfsnetwerken, duizenden schoolsites offline door ransomware-aanval op hostingprovider en Portugese mediagigant Impresa offline na aanval door ransomwaregroep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.