Tienduizenden alarmsystemen in Nederland konden een jaar lang op afstand worden afgemeld doordat geheime afmeldcodes toegankelijk waren. De oorzaak daarvan was een lek in de software van het Amerikaanse bedrijf Carrier Global, die door diverse alarmcentrales in ons land wordt gebruikt. Volgens de fabrikant zijn er geen aanwijzingen dat er misbruik is gemaakt van het lek.
Dat blijkt uit onderzoek van BNR.
Afmeldcodes en woonadressen waren toegankelijk door lek
Het lek bevond zich in MAS Mobile Classic, de app die installateurs van alarmcentrales gebruiken om toegang te krijgen tot gegevens van hun eigen klantenbestand. Onbevoegden konden daardoor de zogeheten afmeldcodes inzien. Dat zijn wachtwoorden waarmee de eigenaar van een alarmsysteem bij de alarmcentrale kan doorgeven dat er sprake is van een vals alarm. De politie ontvangt dan geen alarmsignaal en komt niet op locatie langs om te kijken of er sporen van inbraak zijn.
Naast afmeldcodes was het tevens mogelijk om privégegevens van klanten te bekijken. Dan moet je denken aan onder meer woonadressen van CEO’s, BN’ers, politici en andere prominente figuren. Om het nog erger te maken: deze mensen kregen een aparte aanduiding, waardoor ze eenvoudig waren te vinden in de berg van gegevens.
De redactie van BNR nam contact op met een aantal gedupeerden. Zij bevestigden dat de meeste gegevens correct en actueel waren. Ze reageerden boos en hadden weinig begrip voor de situatie. “Onvoorstelbaar dat men zo lang gewacht heeft mensen op de hoogte te stellen”, zo zegt één van de betrokkenen tegen de omroep.
Waarschuwingen van softwareontwikkelaar gericht aan dovemansoren
Het was softwareontwikkelaar Joris Talma die begin 2023 het lek in de software van Carrier Global ontdekte. Hij verrichtte op dat moment werkzaamheden voor een theater in het oosten van het land. Per ongeluk kwam hij er toen achter dat hij via de app voor installateurs toegang had tot gegevens van andere klanten van de alarmcentrale. Hij zag direct in dat het om een ernstige lek ging en waarschuwde in februari vorig jaar de Amerikaanse fabrikant hiervoor.
Carrier Global liet de app begin 2022 uit de Google Play Store en App Store verwijderen. Het lek in de server, waardoor afmeldcodes en klantgegevens toegankelijk waren, bleef ongemoeid. Het Amerikaanse bedrijf waarschuwde haar klanten voor het probleem, maar het lek zelf werd niet gedicht.
Daarop besloot Talma om de situatie aan te kaarten bij de Autoriteit Persoonsgegevens, maar zonder resultaat. Ook Nederlandse alarmcentrales die gebruik maken van de diensten van Carrier Global, SMC en Securitas, werden door de softwareontwikkelaar gewaarschuwd.
SMC laat in een reactie weten dat er ‘geen indicatie’ is dat kwaadwillenden misbruik hebben gemaakt van het lek. Securitas zegt vorige week voor het eerst van het lek te hebben gehoord en heeft de toegang tot klantgegevens via de app tijdelijk uitgezet. Verder zegt Securitas melding te hebben gedaan bij de Autoriteit Persoonsgegevens.
Topje van de ijsberg
Volgens BNR gaat het hier om een omvangrijk lek. Minimaal 26.000 alarmsystemen in Nederland zouden door het lek zijn getroffen. Het gaat onder meer om alarmen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en cybersecuritybedrijf Fox-IT. Van laatstgenoemde partij is bekend dat het staatsgeheime van de Nederlandse overheid bewaart.
BNR benadrukt dat dit waarschijnlijk slechts het topje van de ijsberg is: ook andere alarmcentrales in ons land gebruiken de software van Carrier Global. Tweede Kamerlid Barbara Kathmann (GroenLinks-PvdA) eist dat demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius de kwestie onderzoekt. “We moeten heel goed gaan kijken hoe groot dit lek nou eigenlijk is, of er nog meer alarmcentrales betrokken zijn en hoe dit überhaupt heeft kunnen gebeuren”, aldus de politica. Ze wil vooral weten hoe het kan dat het een jaar heeft geduurd voordat er maatregelen werden genomen.
Een woordvoerder van Carrier Global zegt in een reactie dat het bedrijf bekend is met het probleem en de zaak momenteel onderzoekt. “De veiligheid van de gegevens van onze klanten is altijd topprioriteit”, aldus de woordvoerder.
