Beveiligingnieuws Logo

Onze partners

Connect Security

SmartCell

Crown Security Services

SMC Alarmcentrale

Seagate

Top Security

VAIBS

Milestone

Uniview

Akuvox

Intrasec

Optex

HD Security

Bosch Security Systems

SmartSD

MOBOTIX

Unii

OSEC

Sequrix

G4S

Network Optix

CSL

Lobeco

Alphatronics

Bydemes

Hanwha Vision Europe

ASSA ABLOY

NIBHV

Centurion

Dero Security Products

Secusoft

Kiwa

2N

Nenova

ARAS

IDIS

SOBA

Oribi ID Solutions

Distri Company

EAL

Ajax Systems

Eizo

VVNL

Brivo

NetworxConnect

Paraat

VBN

Masset Solutions

Trigion

Traka ASSA ABLOY

i-Pro

Regio Control Veldt

Hikvision

ASIS

Seris

Aritech

Avigilon Alta

Gold-IP

Advancis

ADI

Genetec

Add Secure

VEB

Eagle Eye Networks

Multiwacht

Paxton

Securitas

HID

VideoGuard

Alarm Meldnet

Service Centrale Nederland

PG Security Systems

CardAccess

CDVI

BHVcertificaat.online

Duizenden afmeldcodes alarmsystemen gelekt

11 april 2024
Redactie
05:38

Volgens radiozender BNR zijn door een datalek de zogenoemde afmeldcodes van duizenden beveiligingssystemen van Nederlandse gebouwen meer dan een jaar te vinden geweest op internet. Een technicus kwam het datalek op het spoor en waarschuwde de betrokken beveiligingsbedrijven. Toen die onvoldoende actie ondernamen, stapte de ‘klokkenluider’ naar BNR.

Met de afmeldcode van een alarmsysteem kan de gebruiker van een gebouw de particuliere alarmcentrale laten weten dat er niets aan de hand is, als onnodig alarm is veroorzaakt. Zo wordt voorkomen dat de bewakingsdienst of politie voor niets opdraven. Voor het beheren van die afmeldcodes gebruikte de PAC van SMC een app van het Amerikaanse bedrijf Carrier Global, de fabrikant van het bekende merk Aritech. De server waarop de afmeldcodes werden opgeslagen, bleek echter niet goed beveiligd te zijn. SMC verklaart in een reactie dat er geen signalen zijn dat de codes door kwaadwillenden zijn gebruikt.

Ook persoonsgegevens gelekt
Het datalek zou volgens BNR minstens 14.000 alarmsystemen hebben getroffen, waaronder die van banken, supermarkten, overheidsdiensten, nutsbedrijven, een drukker van waardepapieren en het bekende cybersecuritybedrijf Fox-IT. Mogelijk nog erger is dat door het datalek ook persoonsgegevens toegankelijk werden, waaronder privéadressen van directeuren van grote bedrijven, mensen op de Quote 500-lijst en BN’ers. Dat alles werd begin 2023 ontdekt door een softwareontwikkelaar van een theater. Hij nam in februari 2023 contact op met fabrikant Carrier Global en in juni met SMC. Ook informeerde de klokkenluider de Autoriteit Persoonsgegevens (AP) vanwege de gelekte persoonsgegevens.

Geen maatregelen
Carrier Global waarschuwde direct de gebruikers van de getroffen alarmsystemen, maar trof geen maatregelen om de lekke server beter te beveiligen. De app die voor de verbinding met die server zorgde, was al in 2022 uit de app-stores gehaald. SMC zou volgens de klokkenluider helemaal niets hebben gedaan, nadat hij het bedrijf op de hoogte had gesteld. Vorige maand ontdekte hij dat ook Securitas door een lek in verouderde systemen van Carrier Global getroffen was. Daarbij kwamen geen afmeldcodes, maar wel persoonsgegevens op straat te liggen. Securitas ondernam wel direct actie en haalde het kwetsbare systeem offline. SMC deed dat pas nadat BNR het bedrijf begin dit jaar benaderde.

Onderzoek
SMC verklaarde tegenover BNR dat het onderzoek laat doen naar het lek en naar de reden dat niet direct werd ingegrepen. Alle afmeldcodes zijn veranderd en er zijn maatregelen getroffen om de server beter te beveiligen. Ook Carrier Global is een onderzoek gestart naar het datalek. Securitas had direct na de melding al maatregelen getroffen. Veiligheidsprocedures bij Securitas zouden het volgens een woordvoerder onmogelijk maken om eenzijdig cruciale gegevens te wijzigen. Daardoor zou de veiligheid van klanten niet in gevaar zijn geweest. Securitas heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.

Deel dit artikel via:

Vlog

Premium partners

Suricat

Aritech

Videoguard

Distri Company

Seagate

SequriX

Wordt een partner