Hoe beveiliging omgekeerd kan werken zonder informatie over beveiligingsupdates

Gepubliceerd op 21 april 2021 om 07:00
Hoe beveiliging omgekeerd kan werken zonder informatie over beveiligingsupdates

Door een beveiligingslek in het alarmsysteem van ABUS, kunnen criminelen het systeem uitschakelen voordat ze inbreken. Tevens is het mogelijk om camerabeelden te bekijken en manipuleren. Het beveiligingsbedrijf laat in een reactie weten dat het lek in januari is gedicht.

Beveiligingslek

Cybersecuritydeskundige Niels Teusink van EYE Security ontdekte het beveiligingslek begin november vorig jaar. Tegenover RTL Nieuws laat hij zien hoe eenvoudig het is om het alarmsysteem Secvest van de fabrikant ABUS over te nemen. En wat je er allemaal mee kunt als je eenmaal bent ingelogd, is niet mis.

Teusink laat zien dat het mogelijk is om de geïnstalleerde beveiligingscamera’s in- en uit te schakelen. Boeven kunnen ook de camerabeelden bekijken en manipuleren. Zo is het mogelijk om een lege woonkamer in beeld te brengen terwijl er in werkelijkheid een inbreker rondloopt. Klanten die via de app de camerabeelden bekijken, zien een lege kamer.

Verder laat Teusink zien dat hij met een druk op de knop de alarmsirene kan aan- en uitzetten. Boeven kunnen achter de schermen ook stiekem met de beveiligingscamera’s meekijken. Zo zien ze van een veilige afstand wanneer de bewoners hun huis verlaten en zij hun slag kunnen slaan.

Volgens RTL Nieuws zijn er in heel Europa meer dan 10.000 van dit soort alarmsystemen aangesloten op het internet. Het blijkt relatief eenvoudig om via internet te achterhalen waar de kwetsbare systemen hangen. De systemen tonen de namen van de eigenaren, IP-adressen en soms ook woonadressen.

Makkelijk voor inbrekers

“Je weet waar mensen wonen, kan in het systeem zien wanneer mensen vaak niet thuis zijn en vervolgens live checken op de camerabeelden wat voor dure spullen er in huis staan en of iemand überhaupt thuis is. En als klap op de vuurpijl zet je het alarm uit voordat je inbreekt. Terwijl je dit doet, kan je het zo aanpakken dat in de app alles in orde lijkt”, aldus Teusink.

In Nederland zijn er bijna 300 huizen en bedrijven die kwetsbaar zijn voor het beveiligingslek, terwijl dat helemaal nergens voor nodig is. Toen Teusink het beveiligingslek aankaartte bij ABUS, dichtte de fabrikant het lek via een patch. Het enige dat klanten hoeven te doen is een software-update te installeren. Deze staat sinds 22 januari klaar, maar klanten en een aantal installatie monteurs waren daarvan niet op de hoogte gesteld door ABUS.

RTL Nieuws sprak een aantal gedupeerden. De meesten wisten niet eens dat er een veiligheidsissue was, laat staan dat er een beveiligingsupdate klaarstond. Ze zijn daarvan nooit op de hoogte gesteld door ABUS. Ook meerdere verkooppunten gaven aan niets te weten van een beveiligingslek in de software.

Je moet  klanten hierover informeren

Gerard Spierenburg van de Consumentenbond verwijt de fabrikant nalatigheid. “Er is hier een product in de markt, dat ernstige kwetsbaarheden bevat. Dan kun je als fabrikant niet stil blijven. Je moet je klanten hierover informeren. Dat ze dat niet hebben gedaan, is hen aan te rekenen.”

RTL Nieuws heeft contact opgenomen met ABUS en om een reactie gevraagd. Het beveiligingsbedrijf laat weten dat het een januari een firmware-update heeft aangeboden die het lek dicht. “Wij moesten echter constateren dat enkele van onze installateurs deze informatie over de beschikbare release niet hebben ontvangen. Wij zullen vandaag opnieuw beginnen te communiceren en onze partners gericht informeren.”

Op de vraag waarom ABUS niet met haar klanten heeft gecommuniceerd over het beveiligingslek, krijgt RTL Nieuws geen antwoord. Zelfs niet na meerdere verzoeken. ABUS belooft in ieder geval beterschap en klanten te informeren over de update. Het is te hopen dat de fabrikant dat in de toekomst direct doet.

Bron: rtlnieuws.nl, vpngids.nl

Tips of verdachte activiteiten gezien? Meld het hier.

Meer nieuws

Hackers gebruiken nieuwe phishingtechniek

Cybersecurityexperts van Google hebben gezien dat 'GhostWriter' phishingcampagnes heeft opgezet met als doel om inloggegevens te bemachtigen. De groep gebruikt sinds kort een phishingtechniek die ‘Browser in a Browser’ wordt genoemd. Bezoekers worden dan doorgestuurd naar een gecompromitteerde site die op een betrouwbaar domein lijkt te staan. Wie probeert in te loggen krijgt een nieuw tabblad te zien. Gegevens die op deze pagina worden ingevoerd, belanden in de handen van de hackers.

Lees meer »

"Met cyberambassadeurs bereiken we meer mensen"

Hoe zorg je ervoor dat burgers beter weerbaar worden tegen cybercriminelen? De gemeente Breda leidt daarvoor cyberambassadeurs op. Dit is zo’n succes dat het concept inmiddels ook toegepast wordt in andere steden, zoals Amsterdam, Utrecht en Den Haag. Hoe werkt het? We namen een kijkje op 1 van de trainingen.

Lees meer »

Rusland waarschuwt “anonieme hackers en provocateurs”

Rusland waarschuwt overheden om geen cyberaanvallen uit te voeren tegen het land. Volgens het Russische ministerie van Buitenlandse Zaken voeren “anonieme hackers en provocateurs die het regime in Kiev steunen” een cyberoorlog van ongekende omvang. Het Kremlin belooft hard op te treden tegen deze cyberagressie.

Lees meer »

De ketting van EU-instellingen is zo sterk als de zwakste schakel

Het paraatheidsniveau op het gebied van cybersecurity binnen de EU verschilt sterk per instantie. Omdat de uiteenlopende bestuursorganen nauw met elkaar verweven zijn, vormen de tekortkomingen bij de ene instantie een beveiligingsrisico voor de ander. Om hier iets aan te doen zijn algemeen geldende en bindende regels nodig.

Lees meer »

Jongeren vaker slachtoffer dan ouderen

Zestien procent van de Nederlandse bevolking kwam in 2020 in aanraking met fraude. Dit blijkt uit een eerste, uitgebreide slachtofferstudie naar fraude in Nederland, uitgevoerd onder leiding van prof. dr. Marianne Junger van de Universiteit Twente. ‘Op basis van de gemelde schade in het onderzoek schatten we de totale schade jaarlijks op € 2,75 miljard’, aldus Junger.

Lees meer »