Door een beveiligingslek in het alarmsysteem van ABUS, kunnen criminelen het systeem uitschakelen voordat ze inbreken. Tevens is het mogelijk om camerabeelden te bekijken en manipuleren. Het beveiligingsbedrijf laat in een reactie weten dat het lek in januari is gedicht.
Beveiligingslek
Cybersecuritydeskundige Niels Teusink van EYE Security ontdekte het beveiligingslek begin november vorig jaar. Tegenover RTL Nieuws laat hij zien hoe eenvoudig het is om het alarmsysteem Secvest van de fabrikant ABUS over te nemen. En wat je er allemaal mee kunt als je eenmaal bent ingelogd, is niet mis.
Teusink laat zien dat het mogelijk is om de geïnstalleerde beveiligingscamera’s in- en uit te schakelen. Boeven kunnen ook de camerabeelden bekijken en manipuleren. Zo is het mogelijk om een lege woonkamer in beeld te brengen terwijl er in werkelijkheid een inbreker rondloopt. Klanten die via de app de camerabeelden bekijken, zien een lege kamer.
Verder laat Teusink zien dat hij met een druk op de knop de alarmsirene kan aan- en uitzetten. Boeven kunnen achter de schermen ook stiekem met de beveiligingscamera’s meekijken. Zo zien ze van een veilige afstand wanneer de bewoners hun huis verlaten en zij hun slag kunnen slaan.
Volgens RTL Nieuws zijn er in heel Europa meer dan 10.000 van dit soort alarmsystemen aangesloten op het internet. Het blijkt relatief eenvoudig om via internet te achterhalen waar de kwetsbare systemen hangen. De systemen tonen de namen van de eigenaren, IP-adressen en soms ook woonadressen.
Makkelijk voor inbrekers
“Je weet waar mensen wonen, kan in het systeem zien wanneer mensen vaak niet thuis zijn en vervolgens live checken op de camerabeelden wat voor dure spullen er in huis staan en of iemand überhaupt thuis is. En als klap op de vuurpijl zet je het alarm uit voordat je inbreekt. Terwijl je dit doet, kan je het zo aanpakken dat in de app alles in orde lijkt”, aldus Teusink.
In Nederland zijn er bijna 300 huizen en bedrijven die kwetsbaar zijn voor het beveiligingslek, terwijl dat helemaal nergens voor nodig is. Toen Teusink het beveiligingslek aankaartte bij ABUS, dichtte de fabrikant het lek via een patch. Het enige dat klanten hoeven te doen is een software-update te installeren. Deze staat sinds 22 januari klaar, maar klanten en een aantal installatie monteurs waren daarvan niet op de hoogte gesteld door ABUS.
RTL Nieuws sprak een aantal gedupeerden. De meesten wisten niet eens dat er een veiligheidsissue was, laat staan dat er een beveiligingsupdate klaarstond. Ze zijn daarvan nooit op de hoogte gesteld door ABUS. Ook meerdere verkooppunten gaven aan niets te weten van een beveiligingslek in de software.
Je moet klanten hierover informeren
Gerard Spierenburg van de Consumentenbond verwijt de fabrikant nalatigheid. “Er is hier een product in de markt, dat ernstige kwetsbaarheden bevat. Dan kun je als fabrikant niet stil blijven. Je moet je klanten hierover informeren. Dat ze dat niet hebben gedaan, is hen aan te rekenen.”
RTL Nieuws heeft contact opgenomen met ABUS en om een reactie gevraagd. Het beveiligingsbedrijf laat weten dat het een januari een firmware-update heeft aangeboden die het lek dicht. “Wij moesten echter constateren dat enkele van onze installateurs deze informatie over de beschikbare release niet hebben ontvangen. Wij zullen vandaag opnieuw beginnen te communiceren en onze partners gericht informeren.”
Op de vraag waarom ABUS niet met haar klanten heeft gecommuniceerd over het beveiligingslek, krijgt RTL Nieuws geen antwoord. Zelfs niet na meerdere verzoeken. ABUS belooft in ieder geval beterschap en klanten te informeren over de update. Het is te hopen dat de fabrikant dat in de toekomst direct doet.
Phishing van eigen kredietbank, Ivanti Sentry misbruikt
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 11 en vrijdag 12 juni. Cliënten van Kredietbank Limburg kregen phishingmails die werkelijk van hun eigen kredietbank kwamen, het kritieke lek in Ivanti Sentry ging in één dag van een waarschuwing van het NCSC naar bevestigd misbruik met een spoeddeadline van CISA, en een internationale politieactie ontmantelde de witwasdienst AudiA6 die ruim 380 miljoen dollar aan criminele opbrengsten verwerkte. Daarnaast bevestigt een universiteit 454.600 getroffen studenten in de PeopleSoft campagne van ShinyHunters, en toont onderzoek van Anthropic dat AI de tijd tussen patch en werkende exploit terugbrengt van weken naar uren. We lopen het thema voor thema langs.
Check Point VPN met Qilin, phishing bij Vlaamse hotels
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 9 en woensdag 10 juni. Een kritiek lek in de VPN van Check Point wordt actief misbruikt en mondt in minstens één geval uit in Qilin ransomware, bijna honderd Vlaamse hotels worden getroffen door phishing met betaalverzoeken die tot in detail kloppen, en een internationale politieactie haalt de criminele dienst First VPN offline. Daarnaast zien we een recordronde patches van Microsoft, een autonome agent die eigenhandig kwetsbaarheden vindt, en aanvallers die zich steeds vaker richten op de mensen die software bouwen. We lopen het thema voor thema langs.
Pink kaapt Microsoft 365 via telefoon, datalek Epe
In deze aflevering van het Cyber Journaal kijken we terug op het weekend van zaterdag 6 tot en met maandag 8 juni. Een nieuwe afpersgroep steelt bedrijfsdata uit Microsoft 365 zonder ook maar één regel malware, een Nederlandse gemeente verloor honderden gigabytes aan persoonsgegevens en boven Europa lijkt een Russische satelliet het navigatiesignaal te verstoren. Daarnaast zien we beveiligingssoftware die blijft draaien maar stilvalt, een reeks actief misbruikte kwetsbaarheden in netwerkapparatuur, en flinke resultaten in de opsporing. We lopen het thema voor thema langs.
Verdachte gezocht na babbeltruc bij 76-jarige in Rotterdam
Een 76-jarige Rotterdammer raakte zijn bankpas en pincode kwijt nadat oplichters zich voordeden als zijn bank en als de politie. De politie zoekt de man die daarna met de pinpas geld opnam en op camerabeelden staat.
Mailboxspionage en Cisco SD-WAN actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.
Datalek hotelsector, Windows NETLOGON actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.