image

Jacuzzi-fabrikant lekt privédata SmartTub-gebruikers via slecht beveiligd adminpanel

dinsdag 21 juni 2022, 11:34 door Redactie, 6 reacties

Een wereldwijd opererende fabrikant van jacuzzi's heeft via twee slecht beveiligde adminpanels de privégegevens van gebruikers en klanten gelekt. Na te zijn ingelicht duurde het maanden voordat het bedrijf de gevonden problemen verhielp. Dat meldt beveiligingsonderzoeker Eaton Zveare die het datalek ontdekte.

Jacuzzi Brands biedt onder verschillende merken jacuzzi's en zwembaden aan, waaronder Jacuzzi Hot Tubs, Sundance Spas, D1 Spas en ThermoSpas. De jacuzzi's kunnen worden uitgerust met een SmartTub-feature. Via de SmartTub-app is het onder andere mogelijk om op afstand de temperatuur, stroming en verlichting van de jacuzzi van over de hele wereld te bedienen. De jacuzzi is namelijk voorzien van een module voor een mobiele dataverbinding.

Gebruikers van de SmartTub-feature moeten eerst een account aanmaken. Zveare, die zelf een jacuzzi had aangeschaft, ontving hierbij een e-mail vanaf het domein smarttub.io. De onderzoeker dacht in eerste instantie dat dit een website was om op zijn account in te loggen, maar het bleek het adminpanel te zijn. Alleen door het aanpassen van een HTTP response lukte het Zveare om op het beheerderspaneel in te loggen.

Daar ontdekte hij allerlei gegevens van klanten en gebruikers, waaronder van spa's en sauna's die van de jacuzzi's gebruikmaken, maar ook thuisgebruikers waar de apparaten staan. Het ging onder andere om namen en e-mailadressen. Van hoeveel mensen de gegevens zijn gelekt is onduidelijk. De Android-app alleen telt meer dan tienduizend downloads.

Bij het analyseren van de SmartTub Android-app ontdekte de onderzoeker een tweede adminpanel. Dit keer wist hij door het laden van een aangepast JavaScript-bestand in te loggen en kreeg zo wederom allerlei klantgegevens te zien. Zveare waarschuwde Jacuzzi Brands december vorig jaar, maar de communicatie verliep moeizaam. Uiteindelijk zocht hij hulp van authenticatieplatform Auth0, aangezien bij één van de adminpanels daar gebruik van werd gemaakt.

Begin januari ontving de onderzoeker een reactie. Als oplossing was het adminpanel op SmartHub.io offline gehaald. Het tweede adminpanel was echter nog steeds kwetsbaar. Zveare vroeg herhaaldelijk om een reactie, maar kreeg geen bericht. Begin deze maand zag de onderzoeker dat het tweede adminpanel was beveiligd, waarop hij nu zijn bevindingen openbaar heeft gemaakt.

Image

Reacties (6)
21-06-2022, 12:20 door Anoniem
Het moet niet gekker worden met de IOT gevallen.
21-06-2022, 14:51 door Anoniem
Door Anoniem: Het moet niet gekker worden met de IOT gevallen.

https://www.security.nl/posting/509638/Lek+in+slimme+vibrator+laat+aanvaller+live+meekijken
21-06-2022, 15:27 door Anoniem
Wat is er mis met het mechanisme knopje te gebruiken?
22-06-2022, 12:26 door Anoniem
de vraag: Wat is er mis met het mechanisme knopje te gebruiken?

Nou....

de temperatuurinstelling van het water is afhankelijk van de buitentemperatuur.

Stel dat het de komende dagen enorm warm is, dan is het fijn als je de temperatuur omlaag schroeft/kunt schoeven -- maar wat als je niet thuis bent..? (bv morgen pas..)

(en niet nu komen met "dan doe je als je thuis bent en wacht je een dag").
23-06-2022, 07:54 door EersteEnigeEchte M.J. - EEEMJ
Door Anoniem: de vraag: Wat is er mis met het mechanisme knopje te gebruiken?

Nou....

de temperatuurinstelling van het water is afhankelijk van de buitentemperatuur.

Stel dat het de komende dagen enorm warm is, dan is het fijn als je de temperatuur omlaag schroeft/kunt schoeven -- maar wat als je niet thuis bent..? (bv morgen pas..)

(en niet nu komen met "dan doe je als je thuis bent en wacht je een dag").

Dit werkt op mijn lachspieren. Dus je koopt eerst voor veel geld een jacuzzi waarmee het een dag duurt om een verandering van de temperatuurinstelling tot het apparaat door te laten dringen en vervolgens te laten "uitvoeren" (mijn ouderwetse CV doet dat alles in 20 seconden, met gebruikmaking van het "mechanismeknopje"). Dit "probleem" los je dan vervolgens niet op door naar een psychiater te gaan, maar door een app op je jacuzzi te laten aansluiten die jouw persoonsgegevens verzamelt om jou in staat te stellen van afstand de temperatuurinstelling van je jacuzzi een dag van te voren te wijzigen, als je op het weerbericht gezien hebt dat de buitentemperatuur het komende etmaal gaat veranderen. Want die jacuzzi kan die buitentemperatuur kennelijk niet zelf volgen, want is niet verbonden met een thermometer in de buitenlucht...

Het motto "Het moet via de app" krijgt op deze manier wel een heel bijzondere lading. Straks moeten we nog een app installeren om ons eigen gat af te vegen. Ik stel me zo voor: een spoelmechanisme waarvan de sensoren, de camera's en de timer hyperintelligent automatisch worden geactiveerd zodra je op de pot zit. Bij het samentrekken van een bepaalde kringspier in combinatie met het al 15 seconden gestopt zijn van de productie van bepaalde uitwerpselen, treedt het spoelmechanisme in werking, gevolgd door een droogblaas-mechanisme om je achterste na de spoeling droog te blazen terwijl je nog op de pot zit.

Voorzienbare problemen:

(1) Scholier: "Sorry, ik ben te laat door overmacht". Leraar: "Ja, ja, de brug was zeker open." Scholier: "Nee, er zat een bug in mijn toilet-app".

(2) Klant: "Ho, ho, Lexi, nog niet spoelen, ik ben nog niet klaar!" Toilet-app-chatbot: "Hoi Ernst, fijn dat je mij een vraag stelt! Dit is de tweede vraag die je mij vandaag stelt. Je totaalscore van de afgelopen zeven dagen is elf vragen. Je gemiddelde op jaarbasis is 420 vragen per jaar. Deze gegevens worden opgenomen in de statistieken. Je hebt het recht deze gegevensverwerking te weigeren door middel van een verzoek, gericht aan www.quickflush.nl. Volgens de data ben je op dit moment al wel klaar met het gebruik van dit toilet. Er is... 37... seconden lang geen faeces geproduceerd. Wil je dat ik de wachttijd voor het spoelen... langer... instel? Waarschuwing: dit kan in de toekomst tot ongewenste wachttijden leiden. Is er nog iets anders waar ik je een plezier mee kan doen?"

(3) Klant: "Bij het drogen wordt er allerlei shit op mijn achterste geblazen." Verkoper: "Dat valt niet onder de garantie. Waarschijnlijk heeft u... eh... onzorgvuldig van het toilet gebruik gemaakt, waardoor er faeces in de luchtgaten van de föhn terecht is gekomen. Daarvoor zijn wij niet aansprakelijk." Klant: "Ja maar ik had knallende diarree!" Verkoper: "In de gebruiksvoorwaarden staat dat het apparaat alleen door gezonde mensen zonder beperkingen mag worden gebruikt."

Moet ik nog doorgaan? In een andere reactie verwees iemand al naar het artikel https://www.security.nl/posting/509638/Lek+in+slimme+vibrator+laat+aanvaller+live+meekijken.

We zullen in de toekomst nog veel plezier gaan beleven aan digitalisering en in het bijzonder het Internet of Things (IoT).

M.J.
23-06-2022, 10:43 door Anoniem
Zelfs ik sta even te kijken van een Jacuzzi met een app....en ik ben een IoT promotor
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.