חוקרי סייבר חשפו פגמי אבטחה המשפיעים על 3 מיליון מנעולי RFID אלקטרוניים של Saflok הפרוסים ב- 13,000 בתי מלון ובתים ברחבי העולם. פגמי האבטחה מאפשרים לפתוח בקלות כל דלת במלון על ידי זיוף זוג כרטיסי מפתח. סדרת פגמי האבטחה שכונתה 'Unsaflok', התגלתה על ידי חוקרי הסייבר Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell ו- Will Caruana בספטמבר 2022. כפי שדווח לראשונה על ידי Wired, הוזמנו החוקרים לאירוע פריצה פרטי בלאס וגאס, שם התחרו עם צוותים אחרים כדי למצוא נקודות תורפה בחדרי מלון ובכל המכשירים שבתוכו. צוות החוקרים התמקד באיתור נקודות תורפה במנעול האלקטרוני של Saflok לחדר המלון וגילו ליקויי אבטחה העלולים להביא לפתיחת כל דלת בתוך המלון.
החוקרים חשפו את ממצאיהם ליצרן Dormakaba בנובמבר 2022 ואפשרו לספק לעבוד על תיקון פגמי האבטחה וליידע בתי מלון אודות סיכון האבטחה, מבלי לפרסם את הנושא. עם זאת, מציינים החוקרים שהפגמים זמינים כבר למעלה מ- 36 שנים, כך שבעוד שלא היו מקרים מאושרים של ניצול פגמי האבטחה, מגדילה תקופת החשיפה הנרחבת אפשרות זו: "למרות שאיננו מודעים למתקפות סייבר המשתמשות בפגיעויות אבטחה אלו, לא מן הנמנע שהפגיעויות הללו ידועות וכבר נעשה בהן שימוש על ידי האקרים", הסביר צוות Unsaflok.
בשבוע שעבר חשפו החוקרים בפומבי את נקודות התורפה של Unsaflok בפעם הראשונה והזהירו שהן משפיעות על כמעט 3 מיליון דלתות המשתמשות במערכת Saflok. סדרת הפגמים Unsaflok הינה סדרה של נקודות תורפה שכאשר הן משולבות יחד, מאפשרות להאקרים לפתוח כל חדר בנכס באמצעות זוג כרטיסי מפתח מזויפים. כדי ליזום ניצול פגמי האבטחה, על ההאקרים לקרוא רק כרטיס מפתח אחד מהנכס. החוקרים הנדסו לאחור את תוכנת דלפק הקבלה של Dormakaba ואת מכשיר תכנות המנעולים ולמדו כיצד לזייף מפתח ראשי פעיל שיכול לפתוח כל חדר בנכס. נמצא כי ניתן ליצור כרטיסי מפתח מזויפים באמצעות כל כרטיס MIFARE Classic וכל כלי מסחרי זמין המסוגל לכתוב נתונים לכרטיסים אלו, כולל Proxmark3, Flipper Zero וסמארטפון אנדרואיד בעל יכולת NFC. הציוד הדרוש ליצירת כרטיסי המפתח עולה פחות מכמה מאות דולרים. כאשר מנצלים את הפגמים, הכרטיס הראשון משכתב את נתוני המנעול והשני פותח את המנעול. החוקרים לא סיפקו בשלב זה פרטים טכניים נוספים כדי לאפשר לנכסים השונים מספיק זמן כדי לשדרג את המערכות שלהם.
הפגמים של Unsaflok משפיעים על דגמי Saflok מרובים כולל Saflok MT, סדרת Quantum, סדרת RT, סדרת Saffire וסדרת Confidant, המנוהלת על ידי תוכנת System 6000 או Ambiance. הדגמים המושפעים נמצאים בשימוש בשלושה מיליון דלתות ב- 13,000 נכסים ב- 131 מדינות ובעוד היצרן פועל לפתור את פגמי האבטחה, התהליך מסובך וגוזל זמן. החוקרים אומרים ש- Dormakaba החלה להחליף / לשדרג מנעולים מושפעים בנובמבר 2023, מה שמצריך גם הנפקה מחדש של כל הכרטיסים ושדרוג המקודדים שלהם. נכון למרץ 2024, 64% מהמנעולים נותרו פגיעים.