Een app voor alarmcentrales blijkt zeer gevoelige data te hebben gelekt. MASmobile Classic, bedoeld voor alarminstallateurs om gegevens van klanten op te zoeken, kon onbedoeld afmeldcodes online versturen naar kwaadwillenden.
Dat blijkt uit onderzoek van BNR. De afmeldcodes voor beveiligingssystemen van onder meer de Belastingdienst, Rabobank, Jumbo, Vitens, Strukton en Fox-IT waren opvraagbaar. Kwetsbaarheid CWE-639 was de boosdoener, een fout in het autorisatiesysteem dat gebruikers een sleutel liet aanpassen om toegang te verkrijgen tot data van anderen.
Ontwikkelaar Carrier Global werd al begin 2023 ingelicht door klokkenluider ‘Talma’ over de softwarefout. In juni volgde alarmcentrale SMC. De MASmobile Classic-app was al op 31 maart 2022 verwijderd uit de App Store en Play Store en Carrier Global koos er niet voor om het lek te dichten. De app bereikte op die datum tevens end-of-life.
Nederlands softwareleverancier Securitas stelt dat geen enkele gebruiker daadwerkelijk in gevaar was. “Voor de volledigheid, in onze procedures zitten extra veiligheidsmaatregelen, waardoor cruciale informatie niet eenzijdig gewijzigd kan worden.” Stanley Security, dat gebruikmaakte van MASmobile Classic om klanten te beschermen, werd een jaar geleden overgenomen door Securitas. Zo belandde de app bij deze leverancier.
Lek pas na een jaar gedicht
In juni 2023 waarschuwde Carrier Global haar klanten over deze softwarefout binnen de verouderde app, maar SMC liet na om actie te ondernemen. Klokkenluider Talma stapte naar de Autoriteit Persoonsgegevens, maar ook dat leidde nergens toe. Pas toen BNR aanklopte bij de alarmcentrale, trad SMC op.
Feitelijk is de softwarefout de oorzaak van het datalek, maar uit de publieke communicatie blijkt dat alarmcentrale SMC al een jaar vóór de ontdekking ervan van de app af had moeten stappen. Zeker gezien de kritieke rol die de centrale speelt voor organisaties, moeten end-of-life applicaties voor dergelijke doeleinden nooit gebruikt worden. Het is de verantwoordelijkheid van organisaties om hun gehele software supply chain-security te garanderen.
Wie alleen de grootste verantwoordelijkheid draagt, is lastig te bepalen. Immers miste Securitas bij de overname van Stanley Security het feit dat er een end-of-life app in gebruik was. Leverancier Carrier Global lijkt simpelweg te hebben gehandeld volgens plan: geen enkele softwaremaker kan apps eindeloos blijven ondersteunen en kwetsbaarheden oplossen.
Een frappant feit is dat een Tweakers-gebruiker in januari van dit jaar nog vroeg hoe de MASmobile Classic-app geïnstalleerd kon worden, aangezien dit voor een nieuwe baan nodig was. Een andere gebruiker raadde destijds al aan om aan te kaarten dat deze applicatie verouderd was. Inmiddels is de app met enkel de naam “MASmobile” nog ondersteund. Eveneens is MASmobile EX een modernere variant waar klanten voor kunnen kiezen. Echter zou Securitas nog geen ondersteuning hebben verschaft voor deze versies, waardoor klanten als alarmcentrale SMC nog niet konden overstappen.
Lees ook: AP: ’Meer dan 25.000 datalekken in Nederland in 2023’