हैकर्स ने 30 लाख होटल keycard locks खोलने का तरीका खोजा

 (wired.com)
1 पॉइंट द्वारा GN⁺ 2024-03-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें

हैकर्स ने कुछ ही सेकंड में लाखों होटल keycard locks खोलने का तरीका खोजा

  • हैकर्स ने Saflok ब्रांड के होटल keycard locks में ऐसी कमजोरी खोजी है, जिसे कुछ ही सेकंड में खोला जा सकता है.
  • यह कमजोरी दुनिया भर में होटलों के 30 लाख दरवाजों को प्रभावित कर सकती है, और इन locks को बनाने वाली Swiss कंपनी Dormakaba इसके लिए सुधार उपलब्ध करा रही है.
  • सुधार का काम कुछ महीनों से लेकर कुछ वर्षों तक लग सकता है, और कुछ होटलों में इससे भी अधिक समय लग सकता है.

Unsaflok तकनीक का खुलासा

  • शोधकर्ताओं ने बताया कि Unsaflok नामक तकनीक से Dormakaba के Saflok ब्रांड के RFID-आधारित keycard locks को आसानी से खोला जा सकता है.
  • यह तकनीक Dormakaba के encryption और उसके द्वारा इस्तेमाल किए जाने वाले RFID सिस्टम MIFARE Classic की कमजोरियों का फायदा उठाती है.
  • हैकर्स होटल में मिले किसी भी keycard का इस्तेमाल करके एक खास code पढ़ सकते हैं, और $300 के RFID read/write device से अपने दो keycards लिखकर lock खोल सकते हैं.

Dormakaba की प्रतिक्रिया

  • Dormakaba को नवंबर 2022 में शोधकर्ताओं से तकनीकी विवरण मिला था, और वह इस कमजोरी से प्रभावित होटलों को सुधार में मदद कर रही है.
  • पिछले 8 वर्षों में बेचे गए Saflok सिस्टम्स के लिए, अलग-अलग locks बदलने की जरूरत नहीं है; front desk management system को update या replace करना होगा, और technician को हर दरवाजे पर reprogramming करनी होगी.
  • हालांकि, अब तक केवल 36% Saflok अपडेट हुए हैं, और पूरी तरह सुधार लागू होने में अभी कई महीने और लगने की उम्मीद है.

कमजोरी का विवरण

  • शोधकर्ताओं ने Dormakaba के keycards में लिखे जा सकने वाले दो vulnerabilities खोजीं: एक keycard में data लिखने की अनुमति देती है, और दूसरी बताती है कि Saflok lock खोलने के लिए कौन-सा data लिखना होगा.
  • शोधकर्ताओं ने Dormakaba के front desk software का reverse engineering करके card में संग्रहीत सारा data समझ लिया, और होटल का property code तथा हर कमरे का code निकालकर अपने मान तैयार किए और उन्हें Dormakaba सिस्टम की तरह encrypt कर सके.

होटल मेहमानों की प्रतिक्रिया

  • होटल मेहमान कमजोर locks की पहचान कर सकते हैं और NFC Taginfo app से अपने keycard की जांच करके देख सकते हैं कि lock अपडेट हुआ है या नहीं.
  • अगर lock अभी भी कमजोर है, तो सलाह है कि कमरे में कीमती सामान न छोड़ें, और कमरे के अंदर होने पर दरवाजे की chain लगाकर रखें.

GN⁺ की राय

  • यह लेख होटल मेहमानों और होटल उद्योग, दोनों के लिए एक महत्वपूर्ण सुरक्षा मुद्दा उठाता है. होटल मेहमानों को इस बात पर अधिक ध्यान देना चाहिए कि उनके ठहरने वाले कमरे का lock सुरक्षित है या नहीं.
  • इस कमजोरी की खोज होटल उद्योग को अपने मौजूदा security systems की फिर से समीक्षा करने और जरूरत पड़ने पर upgrade करने के लिए प्रेरित करती है.
  • ऐसी vulnerabilities केवल physical security ही नहीं, बल्कि cyber security के महत्व को भी रेखांकित करती हैं. होटलों को अपना IT infrastructure मजबूत करना चाहिए और नियमित security checks करने चाहिए.
  • इसी तरह की क्षमता देने वाले अन्य security products या projects में Onity का lock system शामिल है, लेकिन उसमें भी पहले vulnerabilities मिल चुकी हैं और वह विवाद का कारण रहा है.
  • नई तकनीक या security system अपनाते समय ऐसी कमजोरियों को ध्यान में रखना और सिस्टम की security को लगातार मजबूत करते रहना महत्वपूर्ण है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-03-23
Hacker News की राय

  • एक कंपनी में विभिन्न ID standards को सपोर्ट करने वाले access control और communication systems विकसित करने वाले कर्मचारी की राय:

    • अधिकांश ग्राहक सबसे असुरक्षित identifiers का उपयोग करते रहते हैं, क्योंकि वे सस्ते होते हैं और चलाने में आसान होते हैं.
    • इंस्टॉल किए गए devices का ठीक से maintenance नहीं होता, क्योंकि maintenance पर लागत आती है.
    • सभी उपकरणों को network के ज़रिए remotely update नहीं किया जा सकता.
    • यहाँ तक कि अगर card encrypted हो, तब भी अधिकांश मामलों में वह controller से Wiegand protocol के माध्यम से जुड़ा होता है, जो data encryption प्रदान नहीं करता.

  • एक इमारत में रहने वाले व्यक्ति का अनुभव:

    • RFID key इस्तेमाल करने वाला Scantron door lock लगा था, लेकिन MiFare Classic की कमजोर encryption के कारण master key बनाना संभव था.
    • समस्या को समझाने के लिए पत्रकार के साथ बहुत सारे emails और calls करने पड़े, और आखिरकार lock को बेहतर encryption scheme में upgrade किया गया और keys फिर से जारी की गईं.

  • शोध में भाग लेने वाले एक व्यक्ति की राय:

    • वह शोध के बारे में सवालों के जवाब देने के लिए तैयार है.
    • शोध के नतीजे unsaflok.com पर देखे जा सकते हैं.

  • होटल में हो सकने वाली गंभीर vulnerability पर राय:

    • सिर्फ एक keycard को पढ़ लेने पर उस property के सभी दरवाज़ों पर attack किया जा सकता है.

  • Dormakaba की प्रतिक्रिया पर राय:

    • यह सवाल है कि क्या Dormakaba ने इस समस्या को सर्वोच्च प्राथमिकता नहीं दी, या फिर कोई कारण था कि इंस्टॉल किए गए Safloks में से 2/3 को समय पर free fix नहीं मिला.
    • भरोसा है कि Dormakaba ग्राहकों और partners दोनों के लिए security को बहुत गंभीरता से लेता है और इस समस्या को ज़िम्मेदारी से सुलझाएगा.

  • होटल card key के काम करने के तरीके को लेकर गलतफहमी:

    • पहले लगता था कि होटल check-in के समय कोई भी random card चुनकर उसे कमरे से जोड़कर दे दिया जाता है, लेकिन वास्तव में इसके लिए encryption या card पर जानकारी लिखने से भी अधिक जटिल प्रक्रिया की ज़रूरत होती है.

  • होटल में सुरक्षा के लिए व्यक्तिगत उपाय:

    • क्योंकि होटल के दरवाज़े इस तरह डिज़ाइन किए जाते हैं कि उन्हें बाहर से खोला जा सके, इसलिए दरवाज़े को अटकाने वाला door jammer इस्तेमाल किया जाता है.

  • physical security के महत्व पर राय:

    • ऐसा strap खरीदने की सलाह दी जाती है जिससे अंदर से दरवाज़ा लॉक किया जा सके.

  • RFID और NFC के बारे में धारणा:

    • RFID और NFC magnetic stripe और barcode के नए रूप हैं; लोग सोचते हैं कि ये technologies सुरक्षित हैं क्योंकि ये दिखाई नहीं देतीं, लेकिन वास्तव में ये सिर्फ numbers हैं जिन्हें machines पढ़ सकती हैं.