हैकर्स ने 3M होटल की कीकार्ड लॉक में से किसी भी लॉक को खोलने का तरीका ढूंढ लिया
शीर्षक और “3M” को लेकर भ्रम
- कई पाठकों ने शुरू में “3M” को कंपनी समझ लिया, “3 million” नहीं, जिससे सबमिशन का शीर्षक बदलने की मांग उठी।
- नोटेशन पर लंबी बहस: M बनाम MM बनाम mm, SI इकाइयाँ बनाम अकाउंटिंग शॉर्टहैंड; कुछ लोगों का तर्क है कि अस्पष्टता से बचने के लिए “3MM” या सीधे “3 million” लिखा जाए।
Saflok की कमजोरी की प्रकृति और प्रभाव
- यह कमजोरी Dormakaba Saflok के लाखों लॉक को प्रभावित करती है; किसी एक प्रॉपर्टी का वैध कार्ड उसी प्रॉपर्टी के किसी भी कमरे को खोलने के लिए इस्तेमाल किया जा सकता है।
- हमला सस्ते टूल्स (Proxmark, Android, Flipper Zero, blank cards) से किया जा सकता है।
- डेडबोल्ट उसी कीकार्ड सिस्टम से नियंत्रित होता है, इसलिए वह वास्तविक सुरक्षा नहीं जोड़ता।
होटल डेडबोल्ट और “Security Theater”
- यह जानकर आश्चर्य कि डेडबोल्ट स्वतंत्र सुरक्षा नहीं देते; कुछ लोग कहते हैं कि यह जानबूझकर ऐसा रखा गया है ताकि स्टाफ और आपातकालीन कर्मी हमेशा अंदर आ सकें।
- “Swing bar” लैच और यह कैसे bypass tools तथा DIY तरीकों से उन्हें निष्प्रभावी किया जा सकता है, इस पर चर्चा।
- व्यापक बिंदु: कई लॉक मुख्यतः ईमानदार लोगों को रोकते हैं; गंभीर हमलावरों के पास कई तेज़ bypass विकल्प होते हैं।
कीकार्ड टेक, RFID, और NFC सुरक्षा
- MIFARE Classic को व्यापक रूप से व्यावहारिक रूप से टूटा हुआ माना जाता है; क्लोनिंग और तेज़ हमले संभव हैं।
- कई access systems सिर्फ एक static ID चेक करते हैं, उसे cleartext में भेजते हैं (जैसे Wiegand), और सस्ते तथा compatible होने के कारण असुरक्षित कार्डों का पुन: उपयोग करते हैं।
- यह बहस कि क्या NFC स्वाभाविक रूप से ज्यादा सुरक्षित है; एक पक्ष कहता है कि इसे सुरक्षित, कम दूरी वाली, encrypted उपयोग के लिए बनाया गया है, जबकि दूसरा जोर देता है कि मूल NFC में built-in encryption नहीं होता और सुरक्षा पूरी तरह ऊपरी-स्तरीय protocols पर निर्भर करती है।
विक्रेता की प्रतिक्रिया और जिम्मेदारी
- Dormakaba को 2022 में सूचित किया गया था; लेख के समय तक केवल लगभग 36% लॉक अपडेट किए गए थे।
- कुछ लोग इसे एक गंभीर सुरक्षा समस्या के लिए अस्वीकार्य रूप से धीमा मानते हैं; दूसरे ध्यान दिलाते हैं कि ग्राहक भी लागत और जटिलता के कारण अपग्रेड का विरोध करते हैं।
संचालनात्मक और सामाजिक जोखिम
- बिना हैकिंग के भी, कई होटल बहुत कम या बिना ID जांच के कीकार्ड दोबारा जारी करते हैं, इसलिए social engineering एक बड़ा खतरा बना रहता है।
- होटल कार्ड वास्तव में कैसे काम करते हैं, इस पर विभिन्न व्याख्याएँ: offline locks, डेटा और expiry कार्ड पर लिखा जाता है, “नया key पुराने को invalid कर देता है” वाला logic।
अतिथि और किरायेदारों के लिए mitigations
- सुझाव: door jammers, straps, कमरे में रहते समय अतिरिक्त भौतिक उपकरण।
- अपार्टमेंट्स के लिए, cylinders बदलने या insecure RFID locks से बचने की कई कहानियाँ, साथ ही tenant सुरक्षा और landlord/emergency access आवश्यकताओं के बीच तनाव।