Hoe beveiliging omgekeerd kan werken zonder informatie over beveiligingsupdates

Gepubliceerd op 21 april 2021 om 07:00
Hoe beveiliging omgekeerd kan werken zonder informatie over beveiligingsupdates

Door een beveiligingslek in het alarmsysteem van ABUS, kunnen criminelen het systeem uitschakelen voordat ze inbreken. Tevens is het mogelijk om camerabeelden te bekijken en manipuleren. Het beveiligingsbedrijf laat in een reactie weten dat het lek in januari is gedicht.

Beveiligingslek

Cybersecuritydeskundige Niels Teusink van EYE Security ontdekte het beveiligingslek begin november vorig jaar. Tegenover RTL Nieuws laat hij zien hoe eenvoudig het is om het alarmsysteem Secvest van de fabrikant ABUS over te nemen. En wat je er allemaal mee kunt als je eenmaal bent ingelogd, is niet mis.

Teusink laat zien dat het mogelijk is om de geïnstalleerde beveiligingscamera’s in- en uit te schakelen. Boeven kunnen ook de camerabeelden bekijken en manipuleren. Zo is het mogelijk om een lege woonkamer in beeld te brengen terwijl er in werkelijkheid een inbreker rondloopt. Klanten die via de app de camerabeelden bekijken, zien een lege kamer.

Verder laat Teusink zien dat hij met een druk op de knop de alarmsirene kan aan- en uitzetten. Boeven kunnen achter de schermen ook stiekem met de beveiligingscamera’s meekijken. Zo zien ze van een veilige afstand wanneer de bewoners hun huis verlaten en zij hun slag kunnen slaan.

Volgens RTL Nieuws zijn er in heel Europa meer dan 10.000 van dit soort alarmsystemen aangesloten op het internet. Het blijkt relatief eenvoudig om via internet te achterhalen waar de kwetsbare systemen hangen. De systemen tonen de namen van de eigenaren, IP-adressen en soms ook woonadressen.

Makkelijk voor inbrekers

“Je weet waar mensen wonen, kan in het systeem zien wanneer mensen vaak niet thuis zijn en vervolgens live checken op de camerabeelden wat voor dure spullen er in huis staan en of iemand überhaupt thuis is. En als klap op de vuurpijl zet je het alarm uit voordat je inbreekt. Terwijl je dit doet, kan je het zo aanpakken dat in de app alles in orde lijkt”, aldus Teusink.

In Nederland zijn er bijna 300 huizen en bedrijven die kwetsbaar zijn voor het beveiligingslek, terwijl dat helemaal nergens voor nodig is. Toen Teusink het beveiligingslek aankaartte bij ABUS, dichtte de fabrikant het lek via een patch. Het enige dat klanten hoeven te doen is een software-update te installeren. Deze staat sinds 22 januari klaar, maar klanten en een aantal installatie monteurs waren daarvan niet op de hoogte gesteld door ABUS.

RTL Nieuws sprak een aantal gedupeerden. De meesten wisten niet eens dat er een veiligheidsissue was, laat staan dat er een beveiligingsupdate klaarstond. Ze zijn daarvan nooit op de hoogte gesteld door ABUS. Ook meerdere verkooppunten gaven aan niets te weten van een beveiligingslek in de software.

Je moet  klanten hierover informeren

Gerard Spierenburg van de Consumentenbond verwijt de fabrikant nalatigheid. “Er is hier een product in de markt, dat ernstige kwetsbaarheden bevat. Dan kun je als fabrikant niet stil blijven. Je moet je klanten hierover informeren. Dat ze dat niet hebben gedaan, is hen aan te rekenen.”

RTL Nieuws heeft contact opgenomen met ABUS en om een reactie gevraagd. Het beveiligingsbedrijf laat weten dat het een januari een firmware-update heeft aangeboden die het lek dicht. “Wij moesten echter constateren dat enkele van onze installateurs deze informatie over de beschikbare release niet hebben ontvangen. Wij zullen vandaag opnieuw beginnen te communiceren en onze partners gericht informeren.”

Op de vraag waarom ABUS niet met haar klanten heeft gecommuniceerd over het beveiligingslek, krijgt RTL Nieuws geen antwoord. Zelfs niet na meerdere verzoeken. ABUS belooft in ieder geval beterschap en klanten te informeren over de update. Het is te hopen dat de fabrikant dat in de toekomst direct doet.

Bron: rtlnieuws.nl, vpngids.nl

Tips of verdachte activiteiten gezien? Meld het hier.

Meer nieuws

Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen

Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.

Lees meer »

Klik en versleuteld is terug

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.

Lees meer »

Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Lees meer »