Koptelefoon voor skihelm lekt privégegevens 19.000 gebruikers
Een koptelefoon voor snowboard- en skihelmen blijkt de gegevens van 19.000 gebruikers te lekken en de fabrikant heeft ondanks herhaaldelijke pogingen van onderzoekers geen oplossing voor het datalek ontwikkeld. Het gaat om de Chips, een universele koptelefoon van fabrikant Outdoor Tech.
De koptelefoon wordt omschreven als een universeel en draadloos audiosysteem dat door middel van bluetooth aan de telefoon van de gebruiker te koppelen is. Het apparaat beschikt ook over een walkietalkiefunctie die mobiele data en een smartphone-app gebruikt. Zo kunnen gebruikers met andere mensen op de piste communiceren.
De walkietalkie-app bevat een zogeheten insecure direct object references (IDOR) kwetsbaarheid waardoor onderzoeker Alan Monie van securitybedrijf Pen Test Partners allerlei privégegevens van gebruikers kon opvragen. Het ging om de namen en e-mailadressen van 19.000 gebruikers, alsmede hun wachtwoordhashes en wachtwoordresetcode in plain text. Ook kon de onderzoeker het telefoonnummer van gebruikers zien en hun gps-locatie achterhalen. Tevens is het mogelijk om de walkietalkiegesprekken van gebruikers af te luisteren.
Pen Test Partners waarschuwde Outdoor Tech op 6 februari. Vijf dagen later reageerde een marketingmanager van het bedrijf. Op 13 februari stuurden de onderzoekers meer informatie over de kwetsbaarheid, maar kregen geen reactie. Een week later werd Outdoor Tech opnieuw benaderd dat het datalek geopenbaard zou worden. Wederom ontvingen de onderzoekers geen reactie.
Het kan uiteraard zijn dat je als bedrijf niet direct de oplossing weet. Maar je kunt op zijn minst even een bericht terugsturen dat de melding in goede orde is ontvangen en dat er naar een oplossing gezocht wordt. Eventueel met behulp van het securitybedrijf.
Maar je kunt op zijn minst even een bericht terugsturen dat de melding in goede orde is ontvangen en dat er naar een oplossing gezocht wordt. Eventueel met behulp van het securitybedrijf.
Van het bedrijf van die helm mag wel wat meer verwacht worden, maar dit beveiligingsbedrijf is niet professioneler. Problemen in software oplossen kost een bedrijven vaak een paar maanden en een professioneel beveiligingsbedrijf weet dat. Er is tijd nodig om de melding bij de juiste personen te laten ontvangen, dan moet het onderzocht worden. Als het uitbesteed is kost dat vaak ook extra tijd en dan moet er nog een oplossing voor komen. Maar in plaats van daar rekening mee te houden of de klanten te willen beschermen kiezen ze er voor om zo snel mogelijk met hun naam in de media te komen. Dit is geen professioneel beveiligingsbedrijf. Het lijkt meer op een paar enthousiastelingen die makkelijk geld willen verdienen aan een paar kunstjes dat ze met burp kunnen en zo snel mogelijk met hun naam de media opzoeken.
Kun je daarmee goed skiën?
Van een producent mag immers ook 'responsible production' worden verwacht, dus het goed testen op bugs en er is geen bewijs dat zulks is gebeurd. Daarnaast zijn de eindgebruikers in zo'n periode blootgesteld aan risico's en gaat de verkoop van een ondeugdelijk product maar door.
Alle reden om met wachten met openbaren in het kader van 'responsible disclosure' te stoppen.
Beetje lastig skieen :) :)
Kun je daarmee goed skiën?
Beetje lastig skieen :) :)
Als via dat draadje jouw koptelefoon wordt verbonden met de muziekinstallatie thuis, of met de persoon waar je mee belt, dan zal dat inderdaad wat storend zijn.
Maar een draadje van je helm naar je binnenzak, dat lijkt me niet perse een issue.
....
Als via dat draadje jouw koptelefoon wordt verbonden met de muziekinstallatie thuis, of met de persoon waar je mee belt, dan zal dat inderdaad wat storend zijn.
Maar een draadje van je helm naar je binnenzak, dat lijkt me niet perse een issue.
Misschien een klein beetje hinderlijk als je je skihelm wat vaker moet op- en afzetten. (Mijn ski-ervaring is erg gedateerd)
Maar het probleem zit, als ik het artikel lees niet in de 'draadloze koptelefoon' feature, maar in de 'walkie-talkie functie' die het apparaat heeft en werkt via een app op de telefoon. [en zeer waarschijnlijk met een stel cloudservers van de leverancier die dan een API met zwakheden aanbieden aan de apps op de telefoons ]
Beetje lastig skieen :) :)
Onzin. In de vorige eeuw had je ook al draagbare muziekinstallaties (walkmans) waar je prima mee kon hardlopen, fietsen, wandelen, en ja ook skieën. Het spul had geen enkele draadloze functionaliteit en de koptelefoons / oordopjes hadden een snoertje. Werkte allemaal prima en lekte geen privégegevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
