Elektronik kilitlerdeki kritik bir hata, dünya çapındaki milyonlarca otel odasını bilgisayar korsanlarına karşı savunmasız bıraktı. Şimdi, saldırıyı geliştiren güvenlik araştırmacıları otellerin sorunu çözmelerine yardımcı oluyor.


Global bir otel kilitleme sistemi sağlayıcısı olan VingCard tarafından üretilen elektronik anahtarların yazılımında bir tasarım hatası ortaya çıkardı. Yapılan araştırmada bu tasarım hatasından etkilenen 166 ülkede 40.000’den fazla binada milyonlarca elektronik kapı var.
Otel odası anahtarlarının kaçırılması ve klonlanması yeni değildir, ancak güvenlik araştırmacıları tarafından tasarlanan saldırı birkaç nedenden dolayı istisnaidir: İlk olarak, saldırganın birkaç dakika içinde tüm bina için bir master anahtar üretmesini sağlıyor. Gereken tek şey normal bir otel odası anahtarı. Süresi dolmuş bile olabilir. Anahtarınızı ön cebinizde tutuyorsanız asansörde bile master anahtar oluşturmak için kopyalama yapılabiliniyor.
Personel anahtarları genellikle bina boyunca çalıştığından, bilgisayar korsanları, oteldeki herhangi bir odayı açabilecek bir anahtarı klonlamaya çalışırken genellikle temizlik personeli veya yöneticilerini hedef alır. RFID veya örneğin elektromanyetik alanlar kullanan anahtarlar, şüpheye neden olmadan kolayca klonlanabilir. Sadece bir postacı çantası içinde gizlenmiş bir RFID okuyucusu olan otel personeli tarafından yürümek bile bir kartı yakalamak için genellikle yeterlidir.

Kartın okuyucuya verdiği yanıt daha sonra yeni bir kart (bir klon) oluşturarak veya bir Proxmark3 gibi başka bir araç kullanarak kaydedilebilir ve çoğaltılabilir. Aynı radyo frekansını taklit edebilir ve kapıların kilidini açabilir.
Hackerlar bu konuda “Sihir kendimizi yaptığımız yazılım katmanında gerçekleşiyor” dedi. Araştırmacılar, demonstrasyon çalışmalarında değiştirilmiş Proxmark kartını kullandılar, ancak bir kez kart çekildikten ve master anahtar oluşturulduktan sonra – bir dakikadan kısa sürede çoğaltabildikleri bir işlem – otel ana anahtarına dönüştürülmüş oluyor.
Maalesef, teknik hakkında daha fazla bilgi edinmek isteyenler için, araştırmacılar bu durumu ifşa etmemeye karar verdi ve oteller hala etkilenen kapıları tamir etme sürecinde olduğu için kötü amaçlı kullanılabileceğine dair endişeleri bulunmaktadır.