Groot veiligheidslek bij elektronische hotelsleutels: "In enkele minuten kunnen we overal binnen"

De tijd dat u op hotel een ouderwetse sleutel voor uw kamer kreeg, ligt al even achter ons. Ze worden hier en daar nog gebruikt, maar de meeste grote hotels zijn al jaren overgeschakeld naar elektronische kaarten. U krijgt een keycard waarmee u enkel tijdens uw verblijf toegang krijgt tot de kamer. In sommige hotels worden die kaarten ook gebruikt om de lift te bedienen of om ’s avonds laat toch nog het hotel binnen te kunnen.

Maar hoe veilig is dat allemaal? Een team van het Finse beveiligingsbedrijf F-Secure heeft een achterpoortje ontdekt in een van de meest gebruikte systemen. "We hebben ontdekt dat er een ontwerpfout in zit", zegt Tom Van de Wiele, een Vlaming die als ethisch hacker voor het bedrijf werkt, aan VRT NWS. "We gebruiken een vrij in de handel te verkrijgen apparaatje (red. dat gebruikt wordt om elektronische sleutels aan te maken) en hebben daarop onze speciale software gezet."

Met dat toestelletje kan zo’n hotelkaart worden gescand. "Het eigenlijke scannen duurt maar een paar seconden", zegt Van de Wiele. "Een loperkaart aanmaken op basis daarvan is een kwestie van minuten. Met die loper kunnen we toegang krijgen tot elke ruimte die beveiligd wordt door hetzelfde systeem." De gescande kaart kan jaren oud zijn, vervallen of gloednieuw. Zolang het van hetzelfde systeem gebruikmaakt, kunnen oplichters met de nodige technische kennis er misbruik van maken.

Lees verder onder de video

Met het apparaatje alleen komt u voor alle duidelijkheid niet ver. Het is de speciaal door de ethische hackers ontwikkelde software die van het achterpoortje in kwestie gebruikmaakt. De details van die software en van het achterpoortje zelf geven ze vanzelfsprekend om veiligheidsredenen niet prijs.

Lees verder onder de grafiek

Het veiligheidsprobleem is een jaar geleden ontdekt. De ethische hackers hebben dat daarop gemeld aan het bedrijf dat de elektronische sleutels produceert en verdeelt. Het gaat om Assa Abloy, de grootste slotenfabrikant ter wereld. "Er zou sprake zijn van tientallen miljoenen sloten in meer dan 150 landen", zegt Van de Wiele over de omvang.

De afgelopen maanden is samen met het bedrijf hard gewerkt aan een oplossing en de software-update is sinds februari beschikbaar. De uitrol wordt een werk van lange adem. "De update moet slot per slot gebeuren", zegt Van de Wiele. "En er moet een update gebeuren op de computer die de toegang beheert."

Of het achterpoortje ook effectief gebruikt is door mensen met slechte bedoelingen is niet duidelijk. We hebben Assa Abloy Hospitality vanmiddag gecontacteerd voor een reactie. Op onze specifieke vragen over de Belgische hotels hebben ze niet geantwoord. Ze hebben vanavond wel een schriftelijke algemene mededeling vrijgegeven.

De slotenmaker benadrukt in die mededeling vooral dat de problemen zijn opgelost en dat de hotels die de update hebben doorgevoerd geen gevaar meer lopen. Bovendien onderlijnt het bedrijf dat het systeem in kwestie al 20 jaar oud is en dat het jarenlang werk geweest is van de hackers van F-Secure om het te kraken.

"Alle digitale apparaten en toepassingen lopen het risico gehackt te worden", klinkt het. "Het zou gespecialiseerde hackers jaren kosten om dit opnieuw te doen, omdat F-Secure niet bekend maakt hoe ze het gedaan hebben. Het is dus niet zo dat je nu een hotel binnenwandelt en zomaar overal binnen kunt."

Assa Abloy Hospitality laat verder weten dat ze intussen nieuwe en meer geavanceerde technologie verkopen en dat de sloten in kwestie "in sneltempo worden vervangen". "We blijven onze beveiliging voortdurend monitoren om alles veilig te houden."