De Almeerse Melvin Morssink heeft toegang gekregen tot de betaalsystemen in bussen van vervoersmaatschappij Keolis. Daar zouden betaalgegevens van passagiers te vinden zijn, maar Keolis ontkent dit. Ondanks dat heeft het bedrijf de kwetsbaarheid wel verholpen.
In de bussen van Keolis hangen betaalautomaten waarmee je een kaartje kunt kopen. Tot zijn grote verbazing kon Morssink zichzelf eenvoudig toegang verschaffen tot deze betaalautomaten, waar hij naar eigen zeggen de bankrekeningnummers van passagiers kon zien.
“Je kunt ’t nauwelijks hacken noemen”, vertelt Morssink tegen RTL Nieuws. “Zo simpel was het.” Hij meldde het beveiligingsprobleem twee weken geleden aan Keolis, dat binnen twee dagen reageerde en hem als bedankje een dagkaart van 6 euro aanbood. Daar ging hij niet mee akkoord, en uiteindelijk ontving hij een beloning van 700 euro. “Daar ben ik lekker met het gezin van op vakantie geweest in Nederland.”
Door een cijfertje in het ID-nummer van de Keolis-bussen aan te passen kreeg Morssink toegang tot andere bussen.
Ethisch hacker
Keolis benadrukt in een reactie dat er geen betaalgegevens of andere gegevens van passagiers inzichtelijk waren, omdat deze versleuteld op de betaalapparaten worden opgeslagen. Desgevraagd kan Morssink geen bewijs geven dat hij daadwerkelijk bankrekeningnummers heeft ingezien.
Keolis heeft de kwetsbaarheid wel samen met de leverancier van de betaalautomaten opgelost, zo bevestigt het bedrijf tegen Omroep Flevoland: “Gelukkig was het nu een ethische hacker.”
Het komt helaas veel te vaak voor
IoT word steeds meer ingezet in het bedrijfsleven en biedt vele voordelen, het hacken van IoT devices blijkt echter kinderlijk eenvoudig. De ontwikkelingen rond IoT, dat alles met elkaar verbonden moet zijn, brengt veel voordelen met zich mee maar te weinig mensen denken na over de beveiliging er van. We hebben met YouIoT hier solide oplossingen voor maar het lijkt wel of onze collega ICT bedrijven de expertise niet hebben. We zijn hier blijkbaar vrij uniek in.
IoT wordt al veel ingezet in het bedrijfsleven, denk aan de vervoers- en transport-maatschappijen, ziekenhuizen, gebouwenbeheer etc. Het gemak om apparatuur vanaf afstand te bedienen, onderhouden en uit te lezen is natuurlijk een groot voordeel waarmee flinke besparingen kunnen worden gerealiseerd. Nadeel is dat alles maar met elkaar verbonden is en dus kwetsbaar voor hacken. Het is voor ICT bedrijven echter niet commercieel interessant om beveiliging hiervan aan te bieden. Als gevolg zijn veel bedrijven kwetsbaar, zonder dat ze dat door hebben.
Meer weten over het veilig gebruiken van uw eigen IoT? Neem contact op met Herman van de Bijl of Ron de Kruijff. Bel 0345 – 622 223 of vul het contactformulier in.