Lydis Statement Follow The Money & De Tijd
Op 16 september 2023 zijn er twee artikelen gepubliceerd op het journalistieke platform Follow The Money en in zakenkrant De Tijd waarin wordt geschreven dat verschillende organisaties communicatieapparatuur van het Chinese bedrijf Yealink gebruiken, waarin beveiligingsproblemen zijn ontdekt.
Deze artikelen zijn vooraf niet geverifieerd met Lydis of Yealink en bevatten aantoonbare feitelijke onjuistheden die een verkeerde indruk geven over Yealink, de apparatuur en de audio- en videocommunicatie via het netwerk in het algemeen.
Lydis en Yealink zijn in augustus 2022 op de hoogte gesteld van kwesties met de Yealink-telefonieapparatuur. De videoapparatuur van Yealink (bijv. Teams) is van deze kwesties volledig uitgesloten. Deze wordt compleet door Microsoft beveiligd en is alleen bruikbaar als deze apparatuur aan bepaalde eisen voldoet. Als distributeur streven wij uiteraard ook naar optimale veiligheid van onze producten, en Lydis is de persoon die deze kwesties heeft gemeld dan ook zeer dankbaar. Lydis was niet op de hoogte van deze situatie, maar na overleg met Yealink hebben wij ontdekt dat er inderdaad problemen waren.
Een groot deel van het artikel gaat over de kwestie van de encryptietool die volgens professionele telefonieaanbieders niet wordt gebruikt voor het versleutelen van configuratiebestanden (provisioning documenten genoemd in het artikel). Deze aanbieders gebruiken hun eigen veiligheidsmaatregelen om er, samen met de veiligheidsmaatregelen in het product, voor te zorgen dat gegevens veilig worden uitgewisseld tussen hun platform en de apparatuur bij de gebruiker op het bureau.
De gegevens van iemands telefoonabonnement zijn nooit in handen van de fabrikant van het product. Deze gegevens zijn eigendom van de provider waar iemand een telefoniedienst afneemt en het product communiceert rechtstreeks met de server van de provider, zonder tussenkomst van Yealink.
De genoemde poort, 5060, is essentieel voor de werking van telefoons en wordt gebruikt als standaardpoort voor VoIP-communicatie. Voor de beeldvorming, als deze poort gesloten is, kan een telefoon niet functioneren. Het gebruik van deze poort is niet uniek voor Yealink-producten, maar wordt door alle fabrikanten in de VoIP-industrie gebruikt.
De problemen met de encryptietool en de kwestie van het openen van de firmware zouden in principe bij sommige klanten op kunnen treden. Daarom heeft Yealink de firmware van de sterk verouderde modellen bijgewerkt, ondanks dat deze al jaren niet meer wordt ondersteund. Daarnaast is een aanpassing gedaan aan de encryptietool. We hebben hier in april 2023 openlijk over gecommuniceerd met de betrokken klanten. Een aantal van hen heeft vervolgens, na analyse en het doen van pentesten, geconcludeerd dat er hierdoor geen extra risico voor hen is ontstaan. Wij willen dan ook benadrukken dat er geen persoonlijke gegevens in gevaar zijn geweest als gevolg van deze situatie.
Follow The Money en De Tijd stippen enkele verouderde kwesties en producten aan, waardoor onterecht het beeld wordt geschetst dat communicatieverkeer van Nederlandse en Belgische instellingen gevaar loopt. Dat is pertinent niet het geval.
In juni 2023 hebben wij de persoon die het probleem heeft gemeld en een journalist van Follow The Money op ons kantoor ontvangen en hebben wij alles in detail uitgelegd. Het is dan ook spijtig om te zien dat zij onze uitleg en informatie niet in het artikel hebben verwerkt.
Lydis werkt al tientallen jaren samen met Yealink en wij zien, net als de partners die de pentesten hebben uitgevoerd, geen enkele reden om de manier waarop Yealink met veiligheid omgaat ter discussie te stellen. Yealink neemt beveiliging van systemen zeer serieus en heeft naar ons idee adequaat gereageerd zodra deze kwesties aan het licht kwamen. Als u vragen heeft, kunt u uiteraard contact met ons opnemen.
Namens het Lydis team,
Gijsbert Zijlstra
Technical Director
gijsbert.zijlstra@lydis.com
Het volledige statement van Yealink is hier te vinden, hier deelt Yealink de feitelijke informatie over alle maatregelen omtrent security van haar producten en organisatie, zoals ISO 27001, GDPR, SOC2 Type1, SOC2 Type2, and SOC3, 802.1x, AES Encryption.