Afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen waren door een beveiligingslek een jaar lang voor kwaadwillenden toegankelijk. Het gaat onder andere om alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en securitybedrijf Fox-IT. Dat meldt BNR dat door een softwareontwikkelaar over het probleem werd ingelicht.

De kwetsbaarheid bevond zich in MAS Mobile Classic, een app van het Amerikaanse bedrijf Carrier Global waarmee installateurs van alarmsystemen gegevens van klanten kunnen opvragen. Het wordt onder andere door alarmcentrale SMC gebruikt. Via het beveiligingslek was het mogelijk voor installateurs om toegang te krijgen tot de gegevens van klanten van andere installateurs.

Het ging onder andere om de codes waarmee de eigenaar van het alarm zich in het geval van een vals alarm bij de centrale kan afmelden, alsmede thuisadressen van ceo's, Quote 500-leden, bekende Nederlanders en zelfs een voormalig minister. Prominente klanten waren door SMC voorzien van een aparte aanduiding, waardoor ze eenvoudiger in de gegevens te vinden waren.

BNR stelt dat door de kwetsbaarheid gegevens van 26.000 actieve Nederlandse beveiligingssystemen waren op te vragen. De softwareontwikkelaar ontdekte het probleem begin 2023 toen hij naar een methode zocht om de verlichting bij een klant automatisch uit te zetten als iemand het alarmsysteem voor het weekend activeerde. Na ontdekking van de kwetsbaarheid informeerde hij vorig jaar februari Carrier Global en in juni SMC.

Carrier Global had de classic versie van de app begin 2022 al uit de appstores van Apple en Google gehaald, maar de kwetsbaarheid in de achterliggende server niet opgelost, waardoor gegevens nog steeds voor ongeautoriseerde installateurs benaderbaar waren. Vervolgen stapte de softwareontwikkelaar naar de Autoriteit Persoonsgegevens, maar ook dat had geen resultaat.

Het probleem bleek bij alle alarmcentrales te spelen die van de app gebruikmaakten, waaronder ook die van Securitas. Ook hier bleken gegevens van tienduizenden alarmsystemen toegankelijk, maar waren afmeldcodes niet opvraagbaar. In het geval van SMC ging het om veertienduizend afmeldcodes. Bij Securitas betrof het alleen persoonsgegevens van klanten. Na te zijn ingelicht heeft Securitas het systeem tijdelijk uitgezet en melding gemaakt bij de Autoriteit Persoonsgegevens.

"Het is een type lek dat we wel vaker zien bij bepaalde type software. In die zin is het dan ook vaak niet zo moeilijk om te vinden. Dan moet je je voorstellen dat je bijvoorbeeld een verzoek doet en een klantnummer aanpast of iets dergelijks en dan de gegevens van andere klanten kunt inzien. Iets dergelijks was daar dus ook aan de hand, waardoor de afmeldcodes zichtbaar waren", zegt Ralph Moonen van securitybedrijf Secura. Dit lijkt te suggereren dat het om een IDOR-kwetsbaarheid gaat.

Volgens SMC is er 'geen indicatie' dat kwaadwillenden misbruik van het systeem hebben gemaakt. Het bedrijf heeft de afmeldcodes van alle gebruikers gereset en 'aanvullende authenticatiemaatregelen' genomen. Carrier Global zegt de zaak in onderzoek te hebben.