Ernstige kwetsbaarheid

Alarmsysteem op afstand uit te schakelen door kwetsbaarheid

Mara Jochem
Head of Marketing

Eind 2020 ontdekt Niels Teusink (Security Expert bij EYE) een lek in het alarmsysteem van het Duitse merk ABUS. Dit systeem wordt door consumenten of (mkb-)ondernemers gebruikt voor het beveiligen van hun woning of kantoorpand. De kwetsbare systemen zijn via het internet makkelijk te vinden, vaak samen met namen en adressen van gebruikers.

Gemanipuleerde beelden

Het gaat om het alarmsysteem Secvest van ABUS. Door het lek kunnen criminelen meekijken met de beveiligingscamera’s of het systeem volledig uitzetten. Ook kunnen camerabeelden gemanipuleerd worden. Hierdoor lijkt het alsof je naar live-beelden kijkt vanuit je ABUS applicatie, maar in werkelijkheid kijk je naar eerder gemaakte opnames. Dit betekent dat criminelen in je woning of kantoorpand kunnen rondlopen zonder dat dit zichtbaar is in het systeem.

Advies

De alarmsystemen van ABUS worden over het algemeen door een erkend bedrijf geïnstalleerd. Zij beheren vaak de beveiligingssleutel die nodig is om de update door te voeren. Bij gebruikers waarbij dit het geval is, adviseren we om de installateur te vragen de update zo snel mogelijk te installeren. Indien gebruikers zelf de beveiligingssleutel bevatten, kan dit zonder installatiebedrijf. Bij inloggen als beheerder, komt direct de melding in beeld met een verzoek tot updaten.

Melding van lek

Tijdens ons werk voor klanten vinden we regelmatig kwetsbaarheden in software en systemen. EYE meldt elke kwetsbaarheid die gevonden wordt door onze experts bij de desbetreffende leverancier. We geven hen daarbij een redelijke termijn om op onze melding te reageren en vervolgens een update uit te brengen die de kwetsbaarheid verhelpt.

Begin november heeft ABUS de melding van het beveiligingslek ontvangen. Drie maanden later, op 22 januari 2021, werd er een update uitgebracht die het lek dicht. Bij de omschrijving van deze update stond niets over de kwetsbaarheid. Het gebrek van deze toelichting kan er toe leiden dat bij gebruikers het gevoel van urgentie ontbreekt om hun systemen zo snel mogelijk te updaten.

Meer informatie?

We hebben een technische blog geschreven over dit onderwerp voor lezers die behoefte hebben aan meer informatie. Benieuwd hoe EYE jouw onderneming digitaal kan beveiligen? Vraag een gratis adviesgesprek aan via [email protected].

Voor pers

Journalisten kunnen in het geval van vragen contact opnemen met Mara Jochem via [email protected].

©2021 by EYE

Our specialists ♥ tech and use their skills to protect businesses across Europe.