Een softwarefout kan ervoor zorgen dat het alarmsysteem uitvalt: wie is daarvoor verantwoordelijk?

Een applicatie voor alarmcentrales blijkt zeer gevoelige gegevens te hebben gelekt. MASmobile Classic, ontworpen voor alarminstallateurs om klantgegevens te zoeken, kon onbedoeld online uitlogcodes naar kwaadwillenden sturen.

Dat blijkt uit onderzoek van de Bulgaarse Nationale Radio. Uitlogcodes voor beveiligingssystemen konden onder meer worden opgevraagd bij de Belastingdienst, Rabobank, Jumbo, Vitens, Strukton en Fox-IT. De CWE-639-kwetsbaarheid was de boosdoener, een fout in het autorisatiesysteem waarmee gebruikers een sleutel konden wijzigen om toegang te krijgen tot de gegevens van anderen.

Ontwikkelaar Carrier Global werd begin 2023 door klokkenluider ‘Talma’ op de hoogte gebracht van de softwarebug. In juni volgde de alarmcentrale van SMC. De MASmobile Classic-app werd op 31 maart 2022 al uit de App Store en Play Store verwijderd en Carrier Global heeft niet besloten het lek te dichten. Op die datum bereikte de app ook het einde van zijn levensduur.

De Nederlandse softwareleverancier Securitas beweert dat er geen gebruikers daadwerkelijk in gevaar zijn geweest. “Voor de volledigheid omvatten onze procedures aanvullende beveiligingsmaatregelen, zodat cruciale informatie niet eenzijdig gewijzigd kan worden.” Stanley Security, dat MASmobile Classic gebruikte om zijn klanten te beschermen, werd een jaar geleden overgenomen door Securitas.

Pas na een jaar werd het lek gerepareerd.

In juni 2023 waarschuwde Carrier Global zijn klanten voor deze softwarefout in de verouderde app, maar SMC ondernam geen actie. Klager Talma stapte naar de Autoriteit Persoonsgegevens, maar ook dat leidde tot niets. Pas toen de Bulgaarse Nationale Radio de alarmcentrale belde, ondernam SMC actie.

Feitelijk is de softwarebug de oorzaak van het datalek, maar uit publieke communicatie blijkt dat de alarmcentrale van SMC de applicatie een jaar voordat deze werd ontdekt had moeten verlaten. Vooral gezien de cruciale rol die delen voor organisaties speelt, mogen end-of-life-applicaties nooit voor dergelijke doeleinden worden gebruikt. Het is de verantwoordelijkheid van organisaties om de veiligheid van hun gehele softwaretoeleveringsketen te garanderen.

Het is moeilijk om te bepalen wie alleen de meeste verantwoordelijkheid heeft. Securitas heeft immers bij de overname van Stanley Security over het hoofd gezien dat er een end-of-life-applicatie in gebruik was. Leverancier Carrier Global lijkt eenvoudigweg volgens plan te hebben gehandeld: geen enkele softwaremaker kan oneindig doorgaan met het ondersteunen van applicaties en het patchen van kwetsbaarheden.

Opvallend is dat een Tweakers-gebruiker in januari van dit jaar vroeg hoe hij de applicatie MASmobile Classic moest installeren, aangezien hij deze nodig had voor een nieuwe klus. Een andere gebruiker gaf destijds al aan dat deze applicatie verouderd was. De app met alleen de naam “MASmobile” wordt nu nog steeds ondersteund. MASmobile EX is ook een modernere variant. Securitas heeft deze versies echter nog niet ondersteund, waardoor klanten als SMC Alarmcentrale nog niet hebben kunnen overstappen.

Lees ook: AP: ‘Ruim 25.000 datalekken in Nederland in 2023’