Ip-camerafabrikant Verkada krijgt wegens slechte beveiliging miljoenenboete
Ip-camerafabrikant Verkada krijgt wegens de slechte beveiliging van camerabeelden en klantgegevens, waardoor aanvallers patiënten in psychiatrische ziekenhuizen en vrouwenklinieken konden bekijken, een boete van 3 miljoen dollar. Dat heeft de Amerikaanse toezichthouder FTC bepaald.
Een internationaal hackerscollectief wist eind 2020 en begin 2021 door middel van een hardcoded wachtwoord toegang tot 150.000 beveiligingscamera's van Verkada te krijgen, onder andere in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven. Zo kon er worden meegekeken met internetbedrijf Cloudflare en autofabrikant Tesla.
De hackers claimden ook toegang te hebben tot het videoarchief van de betreffende camera's. Volgens een van de leden van het collectief was een onbeveiligd intern Jenkins-ontwikkelsysteem van Verkada toegankelijk vanaf het internet. Het bevatte de inloggegevens van een account met "superadminrechten" op het Verkada-netwerk. Nadat er toegang tot het netwerk was verkregen kon het collectief meekijken met de camera's.
Doordat de groep naar eigen zeggen roottoegang tot de camera's had was het daarvandaan ook mogelijk om toegang tot de netwerken van bepaalde Verkada-klanten te krijgen. Het collectief claimde verder informatie over duizenden Verkada-klanten te hebben gedownload, alsmede financiële cijfers van het bedrijf zelf. Volgens de FTC had Verkada geen passende maatregelen genomen om de persoonlijke informatie van klanten die het verzamelde, waaronder gevoelige camerabeelden, goed te beschermen.
Het ging daarbij ook om klantgegevens, zoals namen, e-mailadressen, wachtwoorden en locatieplattegronden. Ook vereiste het bedrijf geen unieke en complexe wachtwoorden, werden klantgegevens niet goed versleuteld en liet de netwerkbeveiliging te wensen over. Verder werden klanten misleid doordat Verkada stelde dat het aan wet- en regelgeving voldeed, terwijl dat niet het geval was. Ook overtrad het bedrijf de Amerikaanse anti-spamwetgeving, door dertig miljoen reclameberichten te versturen zonder dat klanten zich hiervoor konden afmelden.
Naast de geldboete moet Verkada ook een beveiligingsprogramma implementeren en mag het geen misleidende claims meer doen over het privacy- en beveiligingsbeleid. Tevens mag het de anti-spamwetgeving niet meer overtreden. Het boetevoorstel moet nog door een rechter worden goedgekeurd voordat het van kracht wordt.
Maar goed dat er veiligheidsonderzoekers zijn die deze zaak onder de aandacht brengen.
Maar goed dat er veiligheidsonderzoekers zijn die deze zaak onder de aandacht brengen.
De standaard excuses die ik overal tegenkom.
- "Wij zijn niet interessant voor hackers"
- "Wij hebben onze zaken echt wel op orde" (in het land der blinden is eenoog koning)
- "We zijn ISO27001 gecertificeerd"
- "We laten als bedrijf prachtige groeicijfers zien" (maar security interesseert ons geen hout en is vooral een lip service, behalve wanneer het fout gaat, waarna we iemand onder in de hierarchie een schop geven, want die doet overduidelijk zijn of haar werk niet)
- "De medewerkers hebben allemaal een security awareness cursus gevolgd"
- ...
25 jaar geleden al zo, nu nog steeds zo. Als het kwartje nog steeds niet is gevallen na al die decennia, dan kan de boete wat mij betreft niet hoog genoeg uitvallen. Vervolg incompetent management maar, misschien gaat er dan wel iets veranderen.
Maar goed dat er veiligheidsonderzoekers zijn die deze zaak onder de aandacht brengen.
of is dat een andere toko ?
Maar goed dat er veiligheidsonderzoekers zijn die deze zaak onder de aandacht brengen.
De standaard excuses die ik overal tegenkom.
- "Wij zijn niet interessant voor hackers"
- "Wij hebben onze zaken echt wel op orde" (in het land der blinden is eenoog koning)
- "We zijn ISO27001 gecertificeerd"
- "We laten als bedrijf prachtige groeicijfers zien" (maar security interesseert ons geen hout en is vooral een lip service, behalve wanneer het fout gaat, waarna we iemand onder in de hierarchie een schop geven, want die doet overduidelijk zijn of haar werk niet)
- "De medewerkers hebben allemaal een security awareness cursus gevolgd"
- ...
25 jaar geleden al zo, nu nog steeds zo. Als het kwartje nog steeds niet is gevallen na al die decennia, dan kan de boete wat mij betreft niet hoog genoeg uitvallen. Vervolg incompetent management maar, misschien gaat er dan wel iets veranderen.
De nieuwe Zwitserse privacy wetgeving (hun AvG/gdpr) vervolgt de leidinggevenden persoonlijk met de boetes en straffen. Hierdoor kan een strafblad ontstaan voor het management, dat het zakendoen met banken e.d. bemoeilijkt en ondernemen in de toekomst onmogelijk maakt.
Deze nieuwe wetgeving maakt beveiliging van persoonsgegevens geen bedrijfsrisico maar een eigen persoonlijk risico. Deze verantwoordelijkheid is ook niet af te schuiven naar een andere ict- of privacy-medewerker. Een voorbeeld voor de revisie van de AvG. Bij de NIS2 is persoonlijke aansprakelijkheid van het management ook mogelijk.
Ik hoop dat de wet dan wel zodanig goed in elkaar steekt dat niet een topmanager de schuld krijgt voor laakbaar handelen van een ict medewerker.
Zoals de situatie in dit artikel waar het om hardcoded passwords gaat. Dat is niet iets dat je de top kan aanrekenen. Dat is laakbaar handelen van de ontwikkelaars.
Ik hoop dat de wet dan wel zodanig goed in elkaar steekt dat niet een topmanager de schuld krijgt voor laakbaar handelen van een ict medewerker.
Zoals de situatie in dit artikel waar het om hardcoded passwords gaat. Dat is niet iets dat je de top kan aanrekenen. Dat is laakbaar handelen van de ontwikkelaars.
De topmanager is verantwoordelijk om geen aapjes aan te nemen en met pinda’s te betalen natuurlijk.
Ik hoop dat de wet dan wel zodanig goed in elkaar steekt dat niet een topmanager de schuld krijgt voor laakbaar handelen van een ict medewerker.
.
Die hele hack had een hoog hack for hire gehalte. Als de wet niet goed in elkaar steekt, zou van overheidswege de particuliere sector in de ICT via kundige overheidsmollen op lagere uitvoerende posities, een hele sector financieel ten gronde kunnen richten. Als ICT-er kan je dan alleen nog aan de slag bij de overheid, of een van zijn geprivatiseerde partners, netzoals je in Nederland alleen treinmachinist kunt zijn bij de NS of Arriva.
Als die hackers nou Allied Universal te grazen hadden genomen, dat had ik beter begrepen. Einsteintjes met hun g-force.
of is dat een andere toko ?
Hackersgroepen bedienen zich graag van dubble speak (of double dutch zoals je wilt) zoals de overheid dat ook doet.
Maar hier ging het om de meisjes van Verkade. Die hebben met hun voeten de tijdingen getreden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
