Camera-app voor kinderdagverblijven laat onbevoegden meekijken
Een camera-app voor kinderdagverblijven bevat verschillende kwetsbaarheden waardoor onbevoegden op afstand kunnen meekijken. De problemen blijken al zes jaar bekend te zijn. Dat ontdekte beveiligingsonderzoeker Andrew Tierney. De app in kwestie heet NurseryCam en maakt het mogelijk voor ouders om met de webcam van het kinderdagverblijf of de crèche van hun kind of kinderen mee te kijken.
De app zit echter vol met kwetsbaarheden, aldus Tierney. Zo maakt die geen gebruik van TLS-encryptie en worden gebruikersnaam en wachtwoord van de ouder in de url naar de camera verstuurd. Wanneer ouders inloggen ontvangen die een onversleutelde lijst met ip-adressen, poorten, gebruikersnamen en wachtwoorden om direct met het camerasysteem van het kinderdagverblijf verbinding te maken.
Daarnaast wordt er van een standaard adminwachtwoord gebruikgemaakt dat voor alle ouders met toegang tot het systeem hetzelfde is. Verder blijkt dat de toegangscontrole van de application programming interface (API) niet wordt gehandhaafd door het camerasysteem. Ouders van wie het account op het webplatform is ingetrokken kunnen zo nog steeds direct op het camerasysteem inloggen en meekijken.
De problemen zijn echter niet nieuw. Het bedrijf achter de camera-app, die stelt dat het systeem veiliger is dan internetbankieren, werd hier al in 2015 over ingelicht, meldt de beveiligingsonderzoeker. "De implementatie van dit systeem vormt een direct risico voor kinderen", waarschuwt Tierney. Hij riep de ontwikkelaar op om het systeem offline te halen, ervoor te zorgen dat kinderdagverblijven het camerawachtwoord wijzigen of ervoor zorgen dat het niet direct toegankelijk is via internet en als laatste ouders en kinderdagverblijven over de kwetsbaarheden te informeren. De ontwikkelaar laat via Twitter weten dat de onderzoeker morgen een reactie krijgt.
Er zijn hier ook wel erg veel slechte keuzes gemaakt.
Het is schering en inslag omdat de focus bij de verschillende partijen en de corrigerende krachten onderling elkaar niet in ballans houden.
Directeurtjes en minister presidenten persoonlijk aansprakelijk gaan houden. Dan wordt er beter bestuurd en worden de buisnesmodellen van de digidrang realistischer waarbij de verborgen kosten van beveiliging niet als risico op de burger eindigt maar in de board room daar waar het hoort en ook 'verdient' wordt.
Er zijn hier ook wel erg veel slechte keuzes gemaakt.
In de afbeelding staat zelfs 'military operations'.
(onze minister twittert haar login-credentials, dus geef ze geen ongelijk)
Waarom moeten ouders uberhaupt kunnen zien wat er in het kinderdagverblijf gebeurd. Als je het KDV niet vertrouwd, heb je het verkeerde KDV uitgekozen. Als je ze geen van allen vertrouwd, moet je voor een andere oplossing kiezen.
Of dit nu je kinderen tijdens werktijden naar (schoon)ouders, vrienden of familie brengen is, of een andere oplossing zoeken met je werk.
Waarom moeten ouders uberhaupt kunnen zien wat er in het kinderdagverblijf gebeurd. Als je het KDV niet vertrouwd, heb je het verkeerde KDV uitgekozen. Als je ze geen van allen vertrouwd, moet je voor een andere oplossing kiezen.
Of dit nu je kinderen tijdens werktijden naar (schoon)ouders, vrienden of familie brengen is, of een andere oplossing zoeken met je werk.
Inderdaad is dit wel de fundamentele vraag. Daarbij is het ook nog een vorm van personeel-volgsysteem met het risico dat ouders verhaal halen bij een verzorger/-ster persoonlijk. Eng.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
