Afmeldcodes, adresgegevens en de alarmstatus van duizenden alarmsystemen waren vanwege een kwetsbaarheid een jaar lang toegankelijk. Met een afmeldcode kan de eigenaar van een gebouw bij de alarmcentrale kenbaar maken dat een alarm ten onrechte afgaat. De centrale reageert vervolgens niet en belt ook de politie niet.
Het betreft onder meer alarmsystemen van supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven en een drukker van geldpapier. BNR heeft hier onlangs over bericht, nadat de nieuwszender hierover door een softwareontwikkelaar werd geïnformeerd. Het beveiligingslek bevond zich in een MAS Mobile Classis. Dit is een app van het Amerikaanse bedrijf Carrier Global. Installateurs van alarmsystemen gebruiken deze om gegevens van klanten op te vragen. Onder andere de alarmcentrale SMC maakt er gebruik van.
Via de kwetsbaarheid konden installateurs toegang krijgen tot klantgegevens van concurrerende installateurs. Het betrof onder meer de codes waarmee een eigenaar zich kan afmelden bij de centrale als het om een loos alarm gaat. Ook woonadressen van CEO’s, Quote 500-leden, bekende Nederlanders en een voormalig minister waren in te zien. SMC voorziet prominente klanten van een aparte aanduiding: hierdoor waren ze gemakkelijker te vinden.
Volgens BNR waren er door het beveiligingslek gegevens van 26.000 actieve Nederlandse beveiligingssystemen benaderbaar. Nadat een softwareontwikkelaar de kwetsbaarheid begon vorig jaar ontdekte, informeerde hij in februari van dat jaar Carrier Global en in juni SMC.