Miljoonissa hotellihuoneissa käytetyistä sähkölukoista on löydetty tietoturva-aukko, joka on mahdollistanut hotellin avainkortin muuttamisen yleisavaimeksi. Asiasta kertoo löydöksen tehnyt tietoturvayhtiö F-Secure. Sen mukaan haavoittuvia sähkölukkoja on myös suomalaishotelleissa.
Lue myös:
Pornosovelluksessa paha tietoturva-aukko: 20 000 käyttäjän nimet ja sähköpostiosoitteet paljastuivat
Tietoturva-aukon löytäneiden tietoturvatutkijoiden mukaan yleisavaimeksi on voinut muuttaa esimerkiksi vanhentuneen hotellikortin tai hotellin autotallikortin.
Tietoturvatutkijat tutkivat lukkoja satunnaisesti yli vuosikymmenen ajan. Kipinä selvitystyöhön sai alkunsa, kun heidän ystävänsä tietokone varastettiin hotellihuoneesta. Hotellihenkilökunta ei ottanut varkautta tosissaan, koska hotellihuoneen lukossa ei näkynyt jälkiä murtautumisesta tai oven luvattomasta avaamisesta.
Tutkijat ottivat selvitystyön kohteeksi turvallisuudestaan tunnetut Vision by Vingcard -sähkölukot. Niiden valmistaja on lukkojätti Assa Abloy Hospitality, joka on yksi kolmesta maailman johtavasta hotellialan toimijasta. Hospitalityn verkkosivuilla kerrotaan, että sen tuotteita on yli 42 000 rakennuksessa yli 160 maassa ja ne suojaavat päivittäin yli viittä miljoonaa hotellivierasta.
Korjatun version asentaminen hotellien vastuulla
F-Securen tietoturvatutkijat kertoivat löydöstään Assa Abloy Hospitalitylle viime vuoden alussa ja auttoivat haavoittuvuuden korjaamisessa. Hospitalityn johtaja Christophe Sut kertoo korjatun version olleen asiakkaiden saatavilla viime helmikuusta lähtien. Sen asentamista suositellaan, mutta asentaminen on hotellien vastuulla.
Sutin mukaan kolmesta kuuteen prosenttia hotelleista käyttää kyseisiä lukkoja. Vingcardeissa käytetään Visionin lisäksi Visionline-ohjelmistoa, joissa tietoturva-aukkoa ei ole.
Lue myös:
Tietoturva-aukko mahdollistaa Tinder-käyttäjien kiristämisen – nyt jyrähti jo senaattorikin
– Olemme luopumassa Visionista, koska olemme lanseeranneet markkinoille uutta tekniikkaa neljä vuotta sitten. Vision oli iso tuote noin 20 vuotta sitten. Olemme korjanneet vian, ja korjaus on asiakkaiden saatavilla, Sut kertoo STT:lle.
Kukaan ei tiedä, onko Visionin tietoturva-aukkoa käytetty hotellihuoneisiin murtautumiseen. Sut suhtautuu asiaan epäillen.
– En usko, että kukaan käyttäisi tekniikkaa, jonka kehittämiseen menee yli kymmenen vuotta, eikä ole edes varmaa, pääseekö avaimella huoneisiin. Haavoittuvuuden löytämiseen meni kauan, mikä on hyvä asia, koska se antaa hotelleille aikaa paikata vikoja.