De afmeldcodes van duizenden alarmsystemen waren een jaar lang online te vinden door een lek in software van Carrier Global. Alarmsystemen konden daardoor op afstand worden afgemeld. Carrier Global wordt in Nederland onder meer door alarmcentrale SMC gebruikt.
Het lek zit in MAS Mobile Classic, een app waarmee installateurs van alarmcentrales toegang krijgen tot de gegevens van hun eigen klantenbestand. Daarbij zaten ook de afmeldcodes van 14.000 locaties die door SMC beveiligd worden, blijkt uit onderzoek van BNR. Met deze afmeldcodes kan de eigenaar van een alarmsysteem zich kenbaar maken bij de centrale om een vals alarm te melden. In dat geval wordt de politie niet gewaarschuwd. Dergelijke geheime gegevens werden toegankelijk door een fout in de software van de server waarop de app de data bewaarde.
Minstens 26.000 actieve Nederlandse beveiligingssystemen van SMC zijn getroffen door het lek. Het gaat onder meer om systemen van Fox-IT, dat ook staatsgeheimen bewaart. Verder vallen er alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven en een drukker van geldpapier onder. Volgens BNR zijn van grote retailers vaak tientallen vestigingen tegelijkertijd getroffen. Naast de afmeldcodes waren ook thuisadressen van CEO's, Quote 500-leden, BN'ers en een voormalig minister opvraagbaar. Dergelijke prominenten krijgen van SMC een aparte aanduiding, waardoor ze gemakkelijker te vinden zijn in de gegevens.
Het lek werd gemeld door softwareontwikkelaar Joris Talma, die op de fout stuitte bij werkzaamheden voor een klein theater dat klant is van SMC. De app in kwestie werd begin 2022 al uit appstores van Google en Apple gehaald, maar het lek bleef bestaan. Talma waarschuwde in februari vorig jaar Carrier Global en in juni vorig jaar ook SMC. Carrier Global waarschuwde na de melding zijn klanten, maar dichtte het lek niet. Ook SMC trad volgens BNR niet effectief op. De ontwikkelaar waarschuwde verder de Autoriteit Persoonsgegevens meermaals, maar zonder resultaat. Daarop besloot Talma naar BNR te stappen met zijn bevindingen. Pas na vragen van de nieuwsradio gooide SMC het kwetsbare systeem op slot. Dat is bijna een jaar na de eerste melding van Talma.
De nieuwsradio schrijft nu dat de duizenden gecompromitteerde systemen mogelijk slechts het topje van de ijsberg zijn. De software van Carrier Global wordt namelijk ook bij andere alarmcentrales gebruikt. Zo ontdekte Talma dat ook Securitas getroffen is door het lek. Daar waren alleen persoonsgegevens op te vragen, geen afmeldcodes. Kort na een waarschuwing van Talma gooide Securitas het kwetsbare systeem op slot. Ook zegt het bedrijf het lek te hebben gemeld bij de Autoriteit Persoonsgegevens.
SMC zegt in een reactie aan BNR onderzoek te doen naar de omvang van het lek en waarom het zo lang geduurd heeft voordat adequaat werd ingegrepen. Het lek is volgens de alarmcentrale gedicht en er zou geen indicatie zijn dat kwaadwillenden het lek misbruikt hebben. "Uit voorzorg hebben we een gerenommeerd cybersecuritybedrijf ingeschakeld om onderzoek uit te voeren en hebben we besloten alle afmeldcodes van alle gebruikers te resetten en aanvullende authenticatiemaatregelen genomen", zegt een woordvoerder tegenover BNR. Carrier Global zegt bekend te zijn met het probleem en de zaak verder te onderzoeken.