Peretas menemukan cara membuka 3 juta kunci kartu hotel

 (wired.com)
1 poin oleh GN⁺ 2024-03-23 | 1 komentar | Bagikan ke WhatsApp

Peretas menemukan cara membuka jutaan kunci kartu hotel dalam hitungan detik

  • Para peretas menemukan kerentanan yang memungkinkan kunci kartu hotel merek Saflok dibuka hanya dalam beberapa detik.
  • Kerentanan ini dapat memengaruhi 3 juta pintu hotel di seluruh dunia, dan perusahaan Swiss pembuat kunci tersebut, Dormakaba, sedang menyediakan langkah perbaikan.
  • Proses perbaikannya bisa memakan waktu dari beberapa bulan hingga beberapa tahun, dan untuk sebagian hotel bisa lebih lama lagi.

Pengungkapan teknik Unsaflok

  • Para peneliti mengungkap bahwa melalui teknik bernama Unsaflok, kunci kartu hotel berbasis RFID merek Saflok milik Dormakaba dapat dibuka dengan mudah.
  • Teknik ini memanfaatkan kelemahan pada enkripsi Dormakaba dan pada MIFARE Classic, sistem RFID yang digunakan.
  • Peretas dapat memakai kartu kunci apa pun yang diperoleh dari hotel untuk membaca kode tertentu, lalu menulis dua kartu kunci mereka sendiri dengan perangkat baca/tulis RFID seharga $300 untuk membuka kunci.

Tanggapan Dormakaba

  • Dormakaba menerima rincian teknis dari para peneliti pada November 2022 dan sedang membantu hotel yang menyadari adanya kerentanan ini untuk melakukan perbaikan.
  • Untuk sistem Saflok yang dijual dalam 8 tahun terakhir, tidak perlu mengganti tiap kunci secara individual; cukup memperbarui atau mengganti sistem manajemen meja depan, lalu teknisi melakukan pemrograman ulang pada setiap pintu.
  • Namun hingga saat ini, baru 36% Saflok yang telah diperbarui, dan diperkirakan perlu beberapa bulan lagi sampai perbaikannya tuntas.

Detail kerentanan

  • Para peneliti menemukan dua kelemahan yang dapat dituliskan ke kartu kunci Dormakaba: satu memungkinkan data ditulis ke kartu, dan satu lagi memberi tahu data apa yang harus ditulis untuk membuka kunci Saflok.
  • Para peneliti merekayasa balik perangkat lunak meja depan Dormakaba untuk memahami semua data yang tersimpan di kartu, lalu mengekstrak kode properti hotel dan kode tiap kamar sehingga mereka dapat membuat nilai mereka sendiri dan mengenkripsinya seperti sistem Dormakaba.

Respons tamu hotel

  • Tamu hotel dapat mengenali kunci yang rentan dan memeriksa apakah kunci sudah diperbarui dengan mengecek kartu kunci menggunakan aplikasi NFC Taginfo.
  • Jika kunci masih rentan, disarankan untuk tidak meninggalkan barang berharga di kamar dan mengaitkan rantai pintu saat berada di dalam kamar.

Opini GN⁺

  • Artikel ini mengangkat isu keamanan penting bagi tamu hotel maupun industri perhotelan. Tamu hotel perlu lebih memperhatikan apakah kunci kamar tempat mereka menginap benar-benar aman.
  • Fakta bahwa kerentanan ini ditemukan menjadi dorongan bagi industri perhotelan untuk meninjau ulang sistem keamanan yang ada dan melakukan upgrade bila diperlukan.
  • Kerentanan seperti ini menegaskan pentingnya bukan hanya keamanan fisik tetapi juga keamanan siber. Hotel perlu memperkuat infrastruktur TI dan melakukan pemeriksaan keamanan secara berkala.
  • Produk atau proyek keamanan lain dengan fungsi serupa antara lain sistem kunci Onity, tetapi sebelumnya juga pernah bermasalah karena ditemukan kerentanan.
  • Saat mengadopsi teknologi atau sistem keamanan baru, penting untuk mengingat potensi kerentanan seperti ini dan terus memperkuat keamanan sistem secara berkelanjutan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-03-23
Komentar Hacker News

  • Pendapat seorang karyawan di perusahaan yang mengembangkan sistem kontrol akses dan komunikasi yang mendukung berbagai standar ID:

    • Sebagian besar pelanggan terus menggunakan pengenal yang paling tidak aman karena biayanya murah dan mudah dioperasikan.
    • Perangkat yang terpasang tidak dirawat dengan baik karena pemeliharaan memerlukan biaya.
    • Tidak semua peralatan dapat diperbarui dari jarak jauh melalui jaringan.
    • Bahkan jika kartu dienkripsi, dalam banyak kasus kartu tersebut terhubung ke kontroler melalui protokol Wiegand, yang tidak menyediakan enkripsi data.

  • Pengalaman seseorang yang tinggal di sebuah gedung:

    • Terpasang kunci pintu Scantron yang menggunakan kunci RFID, tetapi karena enkripsi MiFare Classic yang lemah, kunci master dapat dibuat.
    • Untuk membuat wartawan memahami masalah ini, diperlukan banyak email dan panggilan, dan pada akhirnya kunci-kunci tersebut di-upgrade ke skema enkripsi yang lebih baik serta kuncinya diterbitkan ulang.

  • Pendapat seseorang yang ikut serta dalam penelitian:

    • Siap menjawab pertanyaan tentang penelitian tersebut.
    • Hasil penelitian dapat dilihat di unsaflok.com.

  • Pendapat tentang kerentanan serius yang dapat terjadi di hotel:

    • Dengan membaca hanya satu kartu kunci, serangan terhadap semua pintu di properti tersebut dapat dilakukan.

  • Pendapat tentang respons Dormakaba:

    • Muncul pertanyaan apakah Dormakaba tidak menjadikan masalah ini sebagai prioritas utama, atau apakah ada alasan mengapa 2/3 Saflok yang terpasang tidak menerima perbaikan gratis tepat waktu.
    • Yakin bahwa Dormakaba sangat serius memandang keamanan, baik untuk pelanggan maupun mitra, dan akan menangani masalah ini secara bertanggung jawab.

  • Kesalahpahaman tentang cara kerja kartu kunci hotel:

    • Mengira saat check-in hotel akan diberikan kartu yang dipilih secara acak dan dihubungkan ke kamar, tetapi kenyataannya diperlukan proses yang lebih rumit daripada sekadar enkripsi atau menulis informasi ke kartu.

  • Langkah pribadi untuk keselamatan di hotel:

    • Karena pintu hotel dirancang agar dapat dibuka dari luar, menggunakan door jammer untuk menahan pintu.

  • Pentingnya keamanan fisik:

    • Menyarankan untuk membeli strap yang dapat mengunci pintu dari dalam.

  • Pandangan tentang RFID dan NFC:

    • RFID dan NFC adalah bentuk baru dari magnetic stripe dan barcode; orang menganggap teknologi ini aman karena tidak terlihat, padahal sebenarnya hanya angka yang bisa dibaca mesin.