Volgens radiozender BNR zijn door een datalek de zogenoemde afmeldcodes van duizenden beveiligingssystemen van Nederlandse gebouwen meer dan een jaar te vinden geweest op internet. Een technicus kwam het datalek op het spoor en waarschuwde de betrokken beveiligingsbedrijven. Toen die onvoldoende actie ondernamen, stapte de ‘klokkenluider’ naar BNR.

Met de afmeldcode van een alarmsysteem kan de gebruiker van een gebouw de particuliere alarmcentrale laten weten dat er niets aan de hand is, als onnodig alarm is veroorzaakt. Zo wordt voorkomen dat de bewakingsdienst of politie voor niets opdraven. Voor het beheren van die afmeldcodes gebruikte de PAC van SMC een app van het Amerikaanse bedrijf Carrier Global, de fabrikant van het bekende merk Aritech. De server waarop de afmeldcodes werden opgeslagen, bleek echter niet goed beveiligd te zijn. SMC verklaart in een reactie dat er geen signalen zijn dat de codes door kwaadwillenden zijn gebruikt.

Ook persoonsgegevens gelekt
Het datalek zou volgens BNR minstens 14.000 alarmsystemen hebben getroffen, waaronder die van banken, supermarkten, overheidsdiensten, nutsbedrijven, een drukker van waardepapieren en het bekende cybersecuritybedrijf Fox-IT. Mogelijk nog erger is dat door het datalek ook persoonsgegevens toegankelijk werden, waaronder privéadressen van directeuren van grote bedrijven, mensen op de Quote 500-lijst en BN’ers. Dat alles werd begin 2023 ontdekt door een softwareontwikkelaar van een theater. Hij nam in februari 2023 contact op met fabrikant Carrier Global en in juni met SMC. Ook informeerde de klokkenluider de Autoriteit Persoonsgegevens (AP) vanwege de gelekte persoonsgegevens.

Geen maatregelen
Carrier Global waarschuwde direct de gebruikers van de getroffen alarmsystemen, maar trof geen maatregelen om de lekke server beter te beveiligen. De app die voor de verbinding met die server zorgde, was al in 2022 uit de app-stores gehaald. SMC zou volgens de klokkenluider helemaal niets hebben gedaan, nadat hij het bedrijf op de hoogte had gesteld. Vorige maand ontdekte hij dat ook Securitas door een lek in verouderde systemen van Carrier Global getroffen was. Daarbij kwamen geen afmeldcodes, maar wel persoonsgegevens op straat te liggen. Securitas ondernam wel direct actie en haalde het kwetsbare systeem offline. SMC deed dat pas nadat BNR het bedrijf begin dit jaar benaderde.

Onderzoek
SMC verklaarde tegenover BNR dat het onderzoek laat doen naar het lek en naar de reden dat niet direct werd ingegrepen. Alle afmeldcodes zijn veranderd en er zijn maatregelen getroffen om de server beter te beveiligen. Ook Carrier Global is een onderzoek gestart naar het datalek. Securitas had direct na de melding al maatregelen getroffen. Veiligheidsprocedures bij Securitas zouden het volgens een woordvoerder onmogelijk maken om eenzijdig cruciale gegevens te wijzigen. Daardoor zou de veiligheid van klanten niet in gevaar zijn geweest. Securitas heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.