In un contesto technologico in rapida evoluzione, la sicurezza informatica in ambito alberghiero ha recentemente registrato un'allarmante vulnerabilità. Più di tre milioni di serrature elettroniche RFID, distribuite in circa 13.000 edifici hotel in 131 paesi, sono state identificate come suscettibili a un exploit capace di generare chiavi master per accedere a qualsiasi stanza. Questa scoperta mette a rischio la sicurezza di innumerevoli viaggiatori a livello globale.
La problematica riguarda i sistemi di bloccaggio Saflok prodotti dalla Dormakaba, azienda nota per il suo ampio utilizzo nel settore alberghiero. Le tipologie di serratura coinvolte includono le serie Saflok MT, Quantum, RT, Saffire, e Confidant, oltre ad altri modelli dell'azienda. Le serie Saflok MT e RT, in particolare, risultano essere le più diffuse. Gli hotel affetti da tale vulnerabilità utilizzano generalmente uno tra i software di gestione System 6000, Ambiance o Community.
La peculiare vulnerabilità richiede, per essere sfruttata, l'accesso a una carta chiave MIFARE Classic legittima, sia essa attiva o scaduta, e qualsiasi dispositivo in grado di scrivere dati su una carta. Tra i dispositivi in grado di effettuare tale operazione figurano Flipper Zero, Prixmark3, oltre a telefoni Android dotati di NFC. Una volta creata, una simile carta clonata può sbloccare qualsiasi porta nell'hotel dove la carta originale è stata emessa, includendo la capacità di sovrascrivere i catenacci, rendendo inefficaci le misure di sicurezza secondarie quali le catene.
L'unica modalità per verificare l'uso improprio di una chiave falsificata consiste nell'esaminare i registri di entrata/uscita delle serrature mediante un dispositivo HH6. Tuttavia, identificare un accesso non autorizzato diventa complicato poiché può risultare difficile distinguere tra un utilizzo errato della carta da parte di un ospite e un'effrazione da parte di un malintenzionato.
Nonostante l'impegno profuso, risolvere questa questione su scala globale si presenta come un'impresa ardua, se non impossibile. Il processo di messa in sicurezza richiede l'aggiornamento o la sostituzione delle serrature, del software di gestione, delle carte, dei codificatori delle carte chiave e di dispositivi terzi integrati, come ascensori, porte del garage e sistemi di pagamento.
I ricercatori, pur avendo annunciato questa vulnerabilità, hanno deciso di non diffondere tutti i dettagli tecnici ma hanno previsto di rilasciare ulteriori informazioni in futuro. Benché si sospetti che l'exploit non sia stato ancora utilizzato malevolmente, è importante sottolineare che le serrature implicate sono in circolazione dal 1988. Ciò suggerisce che individui con intenzioni fraudolente potrebbero aver sviluppato tecniche analoghe in qualsiasi momento negli ultimi trentacinque anni.
In risposta alle preoccupazioni sollevate, il team PR di Dormakaba ha rilasciato una dichiarazione ufficiale, la quale afferma: "Non appena siamo stati informati della vulnerabilità da un gruppo di ricercatori esterni, abbiamo avviato un'indagine approfondita, dato priorità allo sviluppo e all'implementazione di una soluzione di mitigazione e comunicato sistematicamente con i nostri clienti. Non ci sono stati resoconti di episodi in cui tale problema sia stato sfruttato fino ad oggi. Seguendo i principi della divulgazione responsabile, stiamo collaborando con i ricercatori per allertare su come i rischi esistenti con le tecnologie RFID legacy stiano evolvendo, affinché altri possano adottare misure precauzionali. Apprezziamo la divulgazione responsabile e l'approccio collaborativo assunti dai ricercatori che condividono il nostro obiettivo di proteggere gli utenti e rafforzare la tecnologia di sicurezza durante questo processo."