image

Koptelefoon voor skihelm lekt privégegevens 19.000 gebruikers

dinsdag 5 maart 2019, 10:50 door Redactie, 11 reacties

Een koptelefoon voor snowboard- en skihelmen blijkt de gegevens van 19.000 gebruikers te lekken en de fabrikant heeft ondanks herhaaldelijke pogingen van onderzoekers geen oplossing voor het datalek ontwikkeld. Het gaat om de Chips, een universele koptelefoon van fabrikant Outdoor Tech.

De koptelefoon wordt omschreven als een universeel en draadloos audiosysteem dat door middel van bluetooth aan de telefoon van de gebruiker te koppelen is. Het apparaat beschikt ook over een walkietalkiefunctie die mobiele data en een smartphone-app gebruikt. Zo kunnen gebruikers met andere mensen op de piste communiceren.

De walkietalkie-app bevat een zogeheten insecure direct object references (IDOR) kwetsbaarheid waardoor onderzoeker Alan Monie van securitybedrijf Pen Test Partners allerlei privégegevens van gebruikers kon opvragen. Het ging om de namen en e-mailadressen van 19.000 gebruikers, alsmede hun wachtwoordhashes en wachtwoordresetcode in plain text. Ook kon de onderzoeker het telefoonnummer van gebruikers zien en hun gps-locatie achterhalen. Tevens is het mogelijk om de walkietalkiegesprekken van gebruikers af te luisteren.

Pen Test Partners waarschuwde Outdoor Tech op 6 februari. Vijf dagen later reageerde een marketingmanager van het bedrijf. Op 13 februari stuurden de onderzoekers meer informatie over de kwetsbaarheid, maar kregen geen reactie. Een week later werd Outdoor Tech opnieuw benaderd dat het datalek geopenbaard zou worden. Wederom ontvingen de onderzoekers geen reactie.

Reacties (11)
05-03-2019, 11:25 door Anoniem
Maar 2 week tussen melding en openbaar maken is wel erg weinig. Zeker een pentest bedrijf zou beter moeten weten. Geef ze tenminste de kans om het op te lossen.
05-03-2019, 12:31 door Anoniem
@ Vandaag, 11:25 door Anoniem:
Het kan uiteraard zijn dat je als bedrijf niet direct de oplossing weet. Maar je kunt op zijn minst even een bericht terugsturen dat de melding in goede orde is ontvangen en dat er naar een oplossing gezocht wordt. Eventueel met behulp van het securitybedrijf.
05-03-2019, 15:04 door Anoniem
En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.
05-03-2019, 22:13 door Anoniem
Door Anoniem: @ Vandaag, 11:25 door Anoniem:
Maar je kunt op zijn minst even een bericht terugsturen dat de melding in goede orde is ontvangen en dat er naar een oplossing gezocht wordt. Eventueel met behulp van het securitybedrijf.
Het beveiligingsbedrijf ontvingen binnen 3 werkdagen na hun eerste bericht een bevestiging. Twee werkdagen later stuurde het beveiligingsbedrijf meer details. Toen ze een week later daar geen reactie op hadden begonnen ze al te druk op te voeren met publiek maken. Nu is het twee weken later en maakt het beveiligingsbedrijf het publiek. En ook nog met zo veel details dat het ze kennelijk niets uit maakt dat ze zelf nu mede verantwoordelijk zijn dat 19000 klanten extra risico lopen dat hun data lekt.

Van het bedrijf van die helm mag wel wat meer verwacht worden, maar dit beveiligingsbedrijf is niet professioneler. Problemen in software oplossen kost een bedrijven vaak een paar maanden en een professioneel beveiligingsbedrijf weet dat. Er is tijd nodig om de melding bij de juiste personen te laten ontvangen, dan moet het onderzocht worden. Als het uitbesteed is kost dat vaak ook extra tijd en dan moet er nog een oplossing voor komen. Maar in plaats van daar rekening mee te houden of de klanten te willen beschermen kiezen ze er voor om zo snel mogelijk met hun naam in de media te komen. Dit is geen professioneel beveiligingsbedrijf. Het lijkt meer op een paar enthousiastelingen die makkelijk geld willen verdienen aan een paar kunstjes dat ze met burp kunnen en zo snel mogelijk met hun naam de media opzoeken.
06-03-2019, 00:49 door Anoniem
Door Anoniem: En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.

Kun je daarmee goed skiën?
06-03-2019, 07:34 door Anoniem
Waarom toch maar wachten met onthullingen, die zogenaamde 'responsible disclosure'?
Van een producent mag immers ook 'responsible production' worden verwacht, dus het goed testen op bugs en er is geen bewijs dat zulks is gebeurd. Daarnaast zijn de eindgebruikers in zo'n periode blootgesteld aan risico's en gaat de verkoop van een ondeugdelijk product maar door.
Alle reden om met wachten met openbaren in het kader van 'responsible disclosure' te stoppen.
06-03-2019, 07:52 door Anoniem
Door Anoniem: En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.

Beetje lastig skieen :) :)
06-03-2019, 09:39 door Anoniem
Door Anoniem:
Door Anoniem: En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.

Kun je daarmee goed skiën?

Door Anoniem:
Door Anoniem: En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.

Beetje lastig skieen :) :)

Als via dat draadje jouw koptelefoon wordt verbonden met de muziekinstallatie thuis, of met de persoon waar je mee belt, dan zal dat inderdaad wat storend zijn.

Maar een draadje van je helm naar je binnenzak, dat lijkt me niet perse een issue.
06-03-2019, 19:30 door Anoniem
Door Anoniem:
....
Als via dat draadje jouw koptelefoon wordt verbonden met de muziekinstallatie thuis, of met de persoon waar je mee belt, dan zal dat inderdaad wat storend zijn.

Maar een draadje van je helm naar je binnenzak, dat lijkt me niet perse een issue.

Misschien een klein beetje hinderlijk als je je skihelm wat vaker moet op- en afzetten. (Mijn ski-ervaring is erg gedateerd)

Maar het probleem zit, als ik het artikel lees niet in de 'draadloze koptelefoon' feature, maar in de 'walkie-talkie functie' die het apparaat heeft en werkt via een app op de telefoon. [en zeer waarschijnlijk met een stel cloudservers van de leverancier die dan een API met zwakheden aanbieden aan de apps op de telefoons ]
06-03-2019, 21:43 door Anoniem
Door Anoniem:
Door Anoniem: En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.

Beetje lastig skieen :) :)

Onzin. In de vorige eeuw had je ook al draagbare muziekinstallaties (walkmans) waar je prima mee kon hardlopen, fietsen, wandelen, en ja ook skieën. Het spul had geen enkele draadloze functionaliteit en de koptelefoons / oordopjes hadden een snoertje. Werkte allemaal prima en lekte geen privégegevens.
06-03-2019, 21:45 door Anoniem
Door Anoniem:
Door Anoniem: En daarom koop je dus een koptelefoon met snoer en zonder bluetooth.

Kun je daarmee goed skiën?

Tuurlijk, waarom niet? Snoertje onder de kleding.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.