image

Mijn NAS bevat een backdoor. Is de fabrikant aansprakelijk?

woensdag 17 april 2024, 09:35 door Arnoud Engelfriet, 9 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik heel goed dat software en andere producten beveiligingslekken bevatten. Maar een backdoor account voeg je als fabrikant toch echt zelf toe. Kan ik een partij als D-Link (en genoeg anderen helaas) hier aansprakelijk voor houden? Het liefst wil ik gewoon mijn geld terug of een product zonder backdoor.

Antwoord: Hier werd inderdaad recent voor gewaarschuwd: "Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service."

De hardcoded credentials waren geen bewuste feature, maar een slordigheid: dit is een typische Unix-constructie die alleen niet goed is geïmplementeerd. Maar uiteindelijk doet het er niet toe of het opzet, roekeloosheid, onoplettendheid of iets anders was. Die backdoor zit er, het product is daardoor niet veilig, wat kun je daarmee als consument?

Het simpele antwoord is natuurlijk: je mag van een product verwachten dat dit aan de redelijke verwachtingen voldoet. Dat wil niet zeggen dat het altijd 100% foutloos en backdoorloos is, je moet kijken hoe het product wordt gemarket, hoe eenvoudig de fout te exploiteren is en in hoeverre D-Link dit had moeten voorzien. Niet elke fout is een conformiteitsgebrek.

Toch denk ik dat je bij een enorme impact zoals hier je wel een goed verhaal hebt dat het product niet voldoet aan de redelijke verwachting. Zó makkelijk binnendringen, dat moet niet kunnen bij zo'n belangrijk product. Maar dit wordt al snel een moeilijke technische discussie, waar je niet makkelijk uitkomt als de wederpartij betaald wordt om het met je oneens te zijn.

In de nabije toekomst zullen we met wetten als de Cyber Resilience Act dit een stuk makkelijker aan kunnen pakken. Die stellen updates en een kwalitatief proces van security verplicht. Er is dan weinig nuance meer als er dan toch een securityfout doorheen glipt.

Als laatste blijf je natuurlijk met het aloude probleem in het consumentenrecht dat de winkel (die jij moet aanspreken en die wettelijk verplicht is jou je geld terug te geven, nu herstel geen optie meer is omdat de NASsen end-of-life zijn) simpelweg weigert dat te doen met meestal een excuus zoals "er zit maar 2 jaar garantie op" of "het lampje gaat aan dus hij is niet stuk". En daarna komt security jou eruit zetten want stemverheffing triggert Protocol Lastige Klant. Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
17-04-2024, 09:45 door Anoniem
Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.
Dan rest mij de vraag, is het recht systeem nu zo dat het vooral voor bedrijven en vooral voor die techbedrijven
werkt en in veel mindere maten voor de burger. Dit kan ik ook terugvinden bij bank fraude.
17-04-2024, 11:30 door Anoniem
Door Anoniem:
Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.
Dan rest mij de vraag, is het recht systeem nu zo dat het vooral voor bedrijven en vooral voor die techbedrijven
werkt en in veel mindere maten voor de burger. Dit kan ik ook terugvinden bij bank fraude.

Duh.
Voor wie werken de wetgevers van de BV Nederland?
Hint: dat zijn niet de 17+ miljoen burgers van Nederland.
17-04-2024, 12:34 door Anoniem
Als de maker D-LINK die niet meer wil fixen met een update vanwegen EOL.
En de verkoper het niet meer wil vergoeden vanwegen oud/geen-garantie.

Dan heb je als consument nog een heel duidelijke weg om te volgen.

NOOIT MEER IETS VAN D-LINK kopen
17-04-2024, 20:49 door Briolet
De hardcoded credentials waren geen bewuste feature

Soms is het wel duidelijk een bewuste feature. In oude Synology nas systemen zat een backdoor waar het wachtwoord met de datum veranderde. Zoiets implementeer je nier per ongeluk. Misschien ooit bedoeld om klanten te helpen die zichzelf buiten gesloten hadden.

Maar zo'n backdoor houd je niet eeuwig geheim, dus dook hij uiteindelijk op op het internet en heeft Synology hem verwijderd. In DSM 3.2 was hij al niet meer aanwezig. In elk geval niet deze bekend geraakte backdoor. Over een nieuwe kun je alleen maar speculeren.
18-04-2024, 09:04 door Anoniem
Confirmiteitsbegrip is ook afhankelijk van het beoogde gebruik jongens (en meiden)... een el-cheapo NAS mag je niet van verwachten dat deze 15 jaar lang als internet-router ingezet kan worden...

Het is een goedkope NAS, dus budget range... dus mag je er niet veel van verwachten.. Het is anders wanneer het een bijvoorbeeld 3000 euro kostende QNAP is met 8 10G ethernet poorten en 40 3.5" en 8 2.5" SSD cache interfaces...
18-04-2024, 10:16 door Anoniem
Door Anoniem:
Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.
Dan rest mij de vraag, is het recht systeem nu zo dat het vooral voor bedrijven en vooral voor die techbedrijven
werkt en in veel mindere maten voor de burger. Dit kan ik ook terugvinden bij bank fraude.

Anderzijds... durf jij met 5 anderen een stuk software te schrijven van zeg 100k regels waarbij je 100% zeker weet dat er geen enkele fout in zit? Kop-eraf als 't fout gaat zeg maar..? Dus ook als maatje Dave-de-webdesigner ergens wat opfkt, jouw nek op het blok...

De scheidslijn waar slordigheid opzet wordt is niet eenduidig te trekken, dus dat een rechter daar voorzichtig mee omgaat lijkt me niet verkeerd.

Romulus
18-04-2024, 11:22 door Anoniem
Door Anoniem: Confirmiteitsbegrip is ook afhankelijk van het beoogde gebruik jongens (en meiden)... een el-cheapo NAS mag je niet van verwachten dat deze 15 jaar lang als internet-router ingezet kan worden...

Het is een goedkope NAS, dus budget range... dus mag je er niet veel van verwachten.. Het is anders wanneer het een bijvoorbeeld 3000 euro kostende QNAP is met 8 10G ethernet poorten en 40 3.5" en 8 2.5" SSD cache interfaces...

Dat is maar de vraag. Het gaat bij de QNAP van dit voorbeeld ook gewoon om een hogere waarde dus het is misschien redelijk te verwachten dat er meer support wordt geboden/er meer restwaarde in zit.

Dure producten hebben niet noodzakelijk langere (economische) levensduur.
18-04-2024, 16:42 door Anoniem
De scheidslijn waar slordigheid opzet wordt is niet eenduidig te trekken, dus dat een rechter daar voorzichtig mee omgaat lijkt me niet verkeerd.
Dus vind jij dat er voor bedrijven andere wetten moeten zijn dan voor burgers, ik niet. Trouwens ik denk
dat je me niet helemaal begrepen hebt.
19-04-2024, 10:11 door Anoniem
Moet wel een beetje lachen om de vraag steller en liefst zijn geld terug ziet. De modellen waar het hier om gaat zijn vaak al minimaal 10 jaar oud.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.