Finse veiligheidsonderzoekers hebben een mysterie dat al veertien jaar bestaat opgelost. In 2003 verdween een laptop uit de hotelkamer van een cybersecurity-expert in Berlijn. De dief liet geen sporen achter en de gestolen laptop werd niet teruggevonden. Nu blijkt hoe de diefstal vermoedelijk plaats heeft kunnen vinden.

Onderzoekers Tomi Tuominen en Timo Hirvonen van het Finse securitycenter F-Secure stellen dat ze een jaar geleden een kwetsbaarheid vonden in de software van Assa Abloy. Dat is ’s werelds grootste slotenmaker, dat ook de elektrische sloten van hotelkamers maakt. Het blijkt dat het erg eenvoudig is om met een sleutelkaart een willekeurige hotelkamer te openen.

Master key

“We kwamen erachter dat je met behulp van elke sleutelkaart van welk hotel dan ook, een master key kan maken waarmee je elke kamer van een hotel kan betreden. Het hoeft niet eens een geldige kaart te zijn, hij mag dus gewoon al verstreken zijn,” laat Hirvonen tijdens een interview met persbureau Reuters weten.

De onderzoekers hebben Assa geholpen met het maken van een oplossing voor de bug, die in februari beschikbaar is gemaakt voor hotels wereldwijd. Niet iedereen is al overgestapt op de nieuwe versie, maar veel hotels wel al. “Ik moedig de hotels aan om die software-fixes te installeren. Maar ik geloof ook niet dat dit een directe bedreiging vormt, omdat het enige tijd kost om deze aanval te bouwen.”

Opgelost mysterie

Daarmee hebben de twee ook meteen een mysterie opgelost. De dief die de laptop in 2003 uit een hotelkamer wist te stelen, liet geen sporen achter. Tuominen en Hirvonen werkten sinds dat jaar zo nu en dan aan een poging het slotensysteem van hotelkamers te hacken, zonder een spoor achter te laten.

“Het zou mij niets verbazen als andere elektronische slotensystemen soortgelijke kwetsbaarheden hebben. Je kunt niet weten hoe veilig een systeem is, tot iemand geprobeerd heeft het te hacken,” aldus Hirvonen.