हैकर्स ने 3M होटल की कीकार्ड लॉक में से किसी भी लॉक को खोलने का तरीका ढूंढ लिया

शीर्षक और “3M” को लेकर भ्रम

  • कई पाठकों ने शुरू में “3M” को कंपनी समझ लिया, “3 million” नहीं, जिससे सबमिशन का शीर्षक बदलने की मांग उठी।
  • नोटेशन पर लंबी बहस: M बनाम MM बनाम mm, SI इकाइयाँ बनाम अकाउंटिंग शॉर्टहैंड; कुछ लोगों का तर्क है कि अस्पष्टता से बचने के लिए “3MM” या सीधे “3 million” लिखा जाए।

Saflok की कमजोरी की प्रकृति और प्रभाव

  • यह कमजोरी Dormakaba Saflok के लाखों लॉक को प्रभावित करती है; किसी एक प्रॉपर्टी का वैध कार्ड उसी प्रॉपर्टी के किसी भी कमरे को खोलने के लिए इस्तेमाल किया जा सकता है।
  • हमला सस्ते टूल्स (Proxmark, Android, Flipper Zero, blank cards) से किया जा सकता है।
  • डेडबोल्ट उसी कीकार्ड सिस्टम से नियंत्रित होता है, इसलिए वह वास्तविक सुरक्षा नहीं जोड़ता।

होटल डेडबोल्ट और “Security Theater”

  • यह जानकर आश्चर्य कि डेडबोल्ट स्वतंत्र सुरक्षा नहीं देते; कुछ लोग कहते हैं कि यह जानबूझकर ऐसा रखा गया है ताकि स्टाफ और आपातकालीन कर्मी हमेशा अंदर आ सकें।
  • “Swing bar” लैच और यह कैसे bypass tools तथा DIY तरीकों से उन्हें निष्प्रभावी किया जा सकता है, इस पर चर्चा।
  • व्यापक बिंदु: कई लॉक मुख्यतः ईमानदार लोगों को रोकते हैं; गंभीर हमलावरों के पास कई तेज़ bypass विकल्प होते हैं।

कीकार्ड टेक, RFID, और NFC सुरक्षा

  • MIFARE Classic को व्यापक रूप से व्यावहारिक रूप से टूटा हुआ माना जाता है; क्लोनिंग और तेज़ हमले संभव हैं।
  • कई access systems सिर्फ एक static ID चेक करते हैं, उसे cleartext में भेजते हैं (जैसे Wiegand), और सस्ते तथा compatible होने के कारण असुरक्षित कार्डों का पुन: उपयोग करते हैं।
  • यह बहस कि क्या NFC स्वाभाविक रूप से ज्यादा सुरक्षित है; एक पक्ष कहता है कि इसे सुरक्षित, कम दूरी वाली, encrypted उपयोग के लिए बनाया गया है, जबकि दूसरा जोर देता है कि मूल NFC में built-in encryption नहीं होता और सुरक्षा पूरी तरह ऊपरी-स्तरीय protocols पर निर्भर करती है।

विक्रेता की प्रतिक्रिया और जिम्मेदारी

  • Dormakaba को 2022 में सूचित किया गया था; लेख के समय तक केवल लगभग 36% लॉक अपडेट किए गए थे।
  • कुछ लोग इसे एक गंभीर सुरक्षा समस्या के लिए अस्वीकार्य रूप से धीमा मानते हैं; दूसरे ध्यान दिलाते हैं कि ग्राहक भी लागत और जटिलता के कारण अपग्रेड का विरोध करते हैं।

संचालनात्मक और सामाजिक जोखिम

  • बिना हैकिंग के भी, कई होटल बहुत कम या बिना ID जांच के कीकार्ड दोबारा जारी करते हैं, इसलिए social engineering एक बड़ा खतरा बना रहता है।
  • होटल कार्ड वास्तव में कैसे काम करते हैं, इस पर विभिन्न व्याख्याएँ: offline locks, डेटा और expiry कार्ड पर लिखा जाता है, “नया key पुराने को invalid कर देता है” वाला logic।

अतिथि और किरायेदारों के लिए mitigations

  • सुझाव: door jammers, straps, कमरे में रहते समय अतिरिक्त भौतिक उपकरण।
  • अपार्टमेंट्स के लिए, cylinders बदलने या insecure RFID locks से बचने की कई कहानियाँ, साथ ही tenant सुरक्षा और landlord/emergency access आवश्यकताओं के बीच तनाव।