Un fallo di protezione informatica minaccia la sicurezza di hotel in tutto il mondo.
Un pericolo inaspettato si annida dietro le porte degli alberghi: un team di ricercatori ha scoperto delle falle critiche nelle serrature RFID Saflok utilizzate in larga scala nel settore alberghiero. Soprannominato Unsaflok, questo insieme di vulnerabilità ha gettato un’ombra preoccupante su quasi 3 milioni di serrature sparpagliate in 13.000 strutture ricettive distribuite in 131 nazioni. L’allarme scatta in seguito alla possibilità di violare le porte con semplici chiavi magnetiche duplicate, una minaccia reale alla privacy e alla sicurezza degli ospiti.
Le indagini, condotte da un gruppo di esperti composto da Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell e Will Caruan, avevano preso il via a settembre del 2022 in occasione di una competizione privata di hacking a Las Vegas. Obiettivo dei partecipanti era trovare punti deboli nelle camere di hotel e nei dispositivi connessi. La sfida ha portato alla luce gravi lacune nelle serrature Saflok, prodotte dalla società Dormakaba.
Il problema principale riguarda la creazione di chiavi master fasulle, che permetterebbero di superare indiscriminatamente le difese delle porte. Per generare queste chiavi, i maligni necessitano soltanto di una carta chiave, bestemmiando il principio di sicurezza su cui si fonda il sistema. Gli hotel sono stati informati di questa minaccia già nel novembre 2022, quando sono state suggerite delle soluzioni tampone e avviate attività di aggiornamento delle serrature. Tuttavia, i dati rivelano che la vulnerabilità esiste da oltre 36 anni, lasciando supporre che l’incidenza di casi non riportati potrebbe essere considerevole.
Unsaflok insidia vari modelli di serrature, tra cui Saflok MT, Quantum, RT, Saffire e Confidant Series, gestiti dalle soluzioni software System 6000 o Ambiance. Per far fronte all’emergenza, Dormakaba si è mossa per sostituire e ammodernare le installazioni a rischio, ma a marzo 2024, oltre due terzi dei sistemi risultavano ancora esposti.
Per realizzare chiavi alterate sufficienti a scardinare il sistema Saflok, i malefici possono avvalersi di strumenti economicamente accessibili come il MIFARE Classic e dispositivi NFC comuni come Poxmark3, Flipper Zero o semplici smartphone abilitati.
Se da un lato gli esperti hanno scelto la riservatezza sui dettagli tecnici, dall’altro hanno esortato la clientela alberghiera a verificare l’esposizione delle serrature con l’aiuto di apposite app, come NFC Taginfo, per Android e iOS, che indicano l’utilizzo delle carte MIFARE Classic come potenziale segnale di pericolo.