Fabrikant IP-camera's erkent lakse beveiliging
Een fabrikant van IP-camera's heeft een schikking met de Amerikaanse Federal Trade Commission gesloten wegens de slechte beveiliging van de apparaten, waardoor de privacy van consumenten in het geding was. Vorig jaar werd er een ernstig lek in de IP-camera's van TRENDnet gerapporteerd.
Via de kwetsbaarheid was het voor alle internetgebruikers mogelijk om zonder inloggegevens met de videostream mee te kijken. Alleen het weten van het IP-adres was voldoende om in te loggen. De ontdekker van het lek publiceerde een script waardoor openstaande SecurView IP-camera's waren te vinden. In totaal zouden bijna 700 camera's hiermee gevonden zijn.
Meekijken
Via de videostreams waren onder andere baby's in hun wieg en spelende jonge kinderen te zien. Daarnaast bleek dat TRENDnet sinds 2010 de inloggegevens van gebruikers in leesbare tekst over het internet verstuurde, ook al is er gratis software beschikbaar om dit te versleutelen, zo stelt de FTC.
De fabrikant liet echter in verschillende advertenties en aankondigingen weten dat de IP-camera's veilig waren. Voor het gevonden beveiligingslek verscheen uiteindelijk een firmware-update op de website. Het is onbekend door hoeveel consumenten die is geïnstalleerd.
Schikking
"Het Internet of Things houdt een grote belofte voor innovatieve consumentenproducten en diensten, maar nu bedrijven steeds meer apparaten maken die met het internet verbonden zijn, moet de veiligheid en privacy van consumenten een prioriteit blijven", aldus FTC voorzitster Edith Ramirez. Vanwege de ernstige gebreken en misleidende teksten besloot de FTC TRENDnet aan te pakken en is het nu met de fabrikant een schikking overeengekomen.
TRENDnet mag geen misleidende informatie over de veiligheid en privacy van de camera's meer afgeven, het moet een veiligheidsprogramma starten om mogelijke authenticatielekken in de producten op te sporen en als laatste moet het consumenten informeren over de beschikbare beveiligingsupdate op de website.
We worden niet alleen afhankelijk, we zijn het al heel lang. Alleen zie je doordat er steeds meer functionaliteit komt en iedereen alles maar aan internet wil knopen de risico's heel anders worden. Wie dacht er een paar jaar geleden over na dat je smart-tv met ingebouwde Skype-camera gehackt kan worden? Hoe moet je zo'n ding eigenlijk beveiligen? Moet je dan een virusscanner op je tv installeren? Meer van dat soort vragen komen boven als je er maar een paar tellen over nadenkt.
Dat betekent inderdaad dat de verantwoordelijkheid van fabrikanten steeds groter wordt. Want in hoeverre mag je van een gemiddelde gebruiker verwachten dat ie begrijpt hoe die apparaten precies werken, laat staan hoe je ze beveiligt.
Als er een probleem is met de beveiligingsmaatregelen in je auto (bijvoorbeeld er blijkt een issue te zijn met je autogordels), dan moet de fabrikant dat ook oplossen. En mag je van de eigenaar van de auto niet verwachten dat ie zelf de gordels vervangt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
