Onderzoekers zijn naar eigen zeggen via ongewijzigde wachtwoorden binnengedrongen in de besturingssoftware van koelinstallaties. Het doel was aan te tonen dat de beveiliging onvoldoende is.
Dit meldt RCC Koude en Luchtbehandeling.
Mogelijkheid om temperatuur in koelruimten te wijzigen
Uit een bericht van Safety Detective, een bedrijf dat antivirus-software test, blijkt dat de onderzoekers gemakkelijk in bepaalde systemen konden binnendringen door gebruik te maken van de standaard-gebruikersnaam en het initiële wachtwoord, dat in deze gevallen na oplevering dus niet bleek gewijzigd. De onderzoekers wisten daarmee binnen te dringen in de controlesoftware van de koelinstallatie bij onder meer een ziekenhuis, een farmaceutisch bedrijf en een vestiging van Marks & Spencer. Ze hadden daarbij de mogelijkheid om bijvoorbeeld de temperatuur in de koelruimten, of de alarminstellingen te wijzigen. Op de website van Safety Detective worden technische tekeningen getoond die de onderzoekers kennelijk bij het binnendringen aantroffen.
> Leestip: Gehackt! Wat nu?
Duidelijke instructie om wachtwoorden aan te passen
Volgens Safety Detective zijn er honderden slecht beveiligde systemen, ook in Nederland. Het zou gaan om software van het bedrijf Resource Data Management (RDM). Op basis van gegevens van de zoekmachine Showdan zouden zelfs meer dan 7.000 installaties slecht zijn beveiligd. Volgens RDM is dat aantal overdreven, omdat 6.500 installaties ervan zijn verbonden via een bedrijfsnetwerk. Daardoor zijn ze niet direct op het internet aangesloten, wat de beveiliging verbetert. Geconfronteerd met de resultaten van het onderzoek liet RDM weten dat in de productdocumentatie duidelijk staat dat het wachtwoord moet worden gewijzigd. Daarin verschilt de software volgens RDM niet van andere netwerkapparaten die via een gebruikersnaam en wachtwoord op afstand kunnen worden bediend.
Update met uniek wachtwoord
In een persbericht meldt het bedrijf dat de hackers inderdaad zijn binnengedrongen in systemen waarvan de initiële wachtwoorden niet zijn gewijzigd. RDM heeft daarop de wachtwoorden snel aangepast en andere klanten met kwetsbare beveiliging nog eens extra op de risico’s gewezen. Max Neus, directeur van Delta Technics Engineering, de Nederlandse leverancier van RDM, werd naar aanleiding van de berichten in de media van diverse kanten benaderd. “Het is heel vervelend dat in berichten wordt gesuggereerd dat onze software lek is, terwijl dat niet het geval is. Het is wel belangrijk om geen standaardwachtwoord te gebruiken, maar dat geldt natuurlijk voor alle systemen, zeker als ze op internet zijn aangesloten. We hameren er bij klanten op om de veiligheid van de systemen zeer serieus te nemen.” Om veiligheidsproblemen te voorkomen, gaat RDM in een update de software bij levering al voorzien van een uniek wachtwoord.
> Leestip: Maarten Robbrecht: Cybersecurity in 2019: de voorspellingen