Falskt nøkkelkort gir hackere adgang til millioner av hotellrom
På få minutter kunne en kyndig hacker ta seg inn på nesten hvilket som helst hotellrom i verden som har nøkkelkortet VingCard.
Det har det finske sikkerhetsfirmaet F-Secure avdekket.
Hvor vanskelig er det å hacke seg inn på hotellers digitale låser, spurte F-Secure, og svarer nå selv: Overraskende enkelt, dersom du kan lage en nøkkel som åpner hvilken som helst dør.
Og det gjorde firmaet, ifølge britiske Wired: De fant en feil i det digitale låssystemet til VingCard, som brukes i millioner av hotellrom verden over.
Nøkkelkortet har sitt historiske opphav i Norge. VingCards produksjon av dørlåser går tilbake til 1894 og Moss, men er nå en del av det svenske konsernet Assa Abloy – som sammen med F-Secure nå skal ha klart å sette en stopper for muligheten potensielle kjeltringer hadde til å begå innbrudd uten å sette spor etter seg.
Les også: Snart kan du sjekke inn og ut av hotell med mobiltelefon
Kopierte masternøkler
Etter «flere tusen timers arbeid», klarte staben i F-Secure å kopiere masternøkler, som kunne åpne hvilken som helst dør der teknologien til VingCard ble benyttet.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenFirmaet sier masternøkkelen, som spesielt fungerte med systemet eid av Assa Abloy Vision – kunne genereres fra et hvilket som helst elektronisk nøkkelkort, selv de som er utgått på dato eller var kassert.
– Vi ønsket å finne ut om det er mulig å gå rundt en elektronisk lås uten å sette spor, sier senior sikkerhetskonsulent Timo Hirvonen, ifølge Wired.
– Du kan tenke deg hva en hva en person med onde hensikter kan gjøre dersom han har muligheten til å komme inn på et hotellrom med en masternøkkel som tilsynelatende er tatt ut av løse luften, utdyper sjefssikkerhetsrådgiver Tomi Tuominen.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenDe forklarer hvordan de fant hullet i sårbarheten, og sier at det i teorien er enkelt å skaffe seg et slikt nøkkelkort:
- Først må en potensiell hacker få tak i en elektronisk nøkkel med RFID eller magnetstripe fra et hotell.
- Dernest kjøper de på nett for noen tusen kroner en programmeringstjeneste, slik at den kan overskrives. Dermed har de på få minutter skaffet seg et masterkort.
Les også: En milliard PCer var sårbare for angrep
Etter at de hadde hacket Assa Abloys Visions digitale låssystem, tok F-Secure for et års tid siden kontakt med selskapet. Sammen utviklet de en programvare som løste problemet med sårbarhet.
Artikkelen fortsetter under annonsenAssa Abloy sier at det aktuelle låssystemet ble utviklet for 20 år siden, og ikke benyttes i deres siste versjoner. De kan imidlertid ikke utelukke at det fortsatt brukes.
– Ikke alle hoteller vil ha oppgradert sin teknologi nok, slik at sårbarheten fortsatt er der, sier direktør for internasjonal virksomhet, Christophe Sut, melder Wired.
Det er ikke avdekket misbruk på hoteller som har låssystemet VingCard, men eventuelle innbrudd vil være vanskelig å avsløre, fordi det ikke vil være tegn på eller spor etter angrep. Hackerangrep og misbruk har imidlertid vært avslørt på andre hoteller med digitale låser, ifølge Wired.
Les også: Surfer du sikkert på mobil?