Nieuw is het nieuws niet, maar nu pas lekte het uit. Al in 2022 hebben hackers tijdens een conferentie in Las Vegas een techniek ontwikkeld om meer dan 3 miljoen sloten van hotelkamers te openen. De sloten zijn wereldwijd geplaatst en kunnen in amper enkele seconden worden geopend. Het gaat om sloten van de Zwitserse slotenmaker Dormakaba die worden verkocht onder het merk Saflok. Dit RFID-gebaseerd systeem met keycards is geïnstalleerd in miljoenen hoteldeuren wereldwijd en dit in meer dan 131 landen.
Binnen in enkele simpele stappen
Het enige wat mensen met slechte bedoelingen moeten doen is een keycard bemachtigen, een code van de kaart lezen met een RFID read-write device en vervolgens zelf twee kaarten schrijven. Klinkt waarschijnlijk eenvoudiger dan het is, maar toch. Door de twee kaarten even tegen het slot te houden, zou de code van het slot herschreven worden en opent de deur.
De fabrikant van de sloten werd in november 2022 al ingelicht. De slotenmaker zou aan een oplossing hebben gewerkt en de hotels op de hoogte gebracht van het probleem. In het merendeel van de gevallen moet er geen hardware vervangen worden en volstaat een softwarematige ingreep. Een update van het front desk management systeem en een een herprogrammatie van elke deur is wel nodig. Een stevig klusje met duizenden kamers. Uit een bevraging van onderzoekers blijkt momenteel nog maar 36 procent van de sloten up-to-date.
Het slot herkennen
Onderzoekers geven aan dat er een manier is om de sloten te herkennen. Waterdicht is het niet, maar meestal gaat het om een ronde RFID-lezer met een golvende lijn erdoor. Dit wijst meestal op een slot van Saflok. Wil je controleren of het slot een update heeft gehad, dan kan dit door de keycard te checken met de NFC Taginfo app van NXP, die beschikbaar is voor zowel Android als iOS. Als het slot gemaakt is door Dormakaba en gaat het om een MIFARE-kaart, dan loop je risico. Niet dat je dan in blinde paniek moet schieten, maar misschien moet je wel je waardevolle spulletjes meenemen of op zijn minst in de kluis steken.
Momenteel zijn er nog geen diefstallen bekend, maar dat betekent niet dat het nog niet voorgevallen is.