Gluren in babykamers: duizenden slimme camera's in Nederland onveilig door lek
Kwaadwillenden kunnen meegluren met duizenden Nederlandse beveiligingscamera's en babyfoons. Door een lek liggen e-mailadressen en wachtwoorden op straat waarmee je toegang krijgt tot deze slimme apparaten.
Dat blijkt uit onderzoek van RTL Nieuws. Het gaat om 14.000 apparaten van de Chinese merken Apexis en Sumpple, die onder andere bij Amazon en de goedkope webwinkels AliExpress en Wish worden verkocht. Ook Bol.com had producten van Apexis in zijn assortiment.
Als je toegang hebt tot zo'n apparaat, kun je onder andere op afstand meekijken, de camera draaien en door de speaker praten. Ook is het mogelijk om beelden op te nemen. "Dit is ontzettend ernstig", zegt Frank Groenewegen van cybersecuritybedrijf Fox-IT. "Bij uitstek thuis moet je recht hebben op je privacy."
Zo gaan de hackers te werk
Katten, baby's en fietsen
RTL Nieuws kreeg via de gelekte e-mailadressen en wachtwoorden toegang tot slimme camera's in onder andere woonkamers, slaapkamers, babykamers, tuinen en schuren. De camera's zijn aan e-mailadressen gekoppeld, waardoor een digitale indringer vaak weet bij wie hij binnen gluurt.
Zo is in een woonkamer te zien hoe een paar katten aan het spelen zijn. De eigenaar van de camera, een vrouw van in de dertig, heeft het apparaat hoogstwaarschijnlijk gekocht om haar huisdieren in de gaten te houden. De camera staat de hele dag aan, ook als de vrouw thuis is. Hetzelfde geldt voor een babyfoon met camera in een babykamer, die ook de commode in beeld brengt.
Een andere camera is te vinden in een winkel van het Amsterdamse fietsenmerk VanMoof. "Toen we van dit probleem op de hoogte werden gesteld, hebben we direct actie ondernomen en alle camera's in onze winkel in New York verwijderd en vervangen", laat het bedrijf weten. De Amsterdamse locatie maakt gebruik van beveiligingscamera's van een ander merk.
Duizenden wachtwoorden
Apexis, het moederbedrijf van Sumpple, bewaart de e-mailadressen en wachtwoorden van gebruikers in een database. Het wachtwoord voor deze database is zo belabberd dat hij voorkomt in de lijst met slechtste wachtwoorden ooit. Het is daardoor voor kwaadwillenden kinderlijk eenvoudig om toegang te krijgen tot deze zeer gevoelige gegevens.
De wachtwoorden van vele honderdduizenden wereldwijde gebruikers worden onversleuteld opgeslagen, waardoor ze gewoon in te zien zijn. Er hoeven dus geen wachtwoorden te worden gekraakt om toegang te krijgen tot de slimme camera's. Ook bevat de database locatiegegevens van de camera's.
Het gebruik van een sterk wachtwoord is bij de camera's van Apexis en Sumpple niet voldoende. De wachtwoorden, hoe ingewikkeld ook, zijn gewoon te zien in de gelekte data. Ook het wachtwoord aanpassen heeft geen zin, omdat het nieuwe wachtwoord wordt opgeslagen in de slecht beveiligde database.
Een bijkomend gevaar is dat mensen het wachtwoord voor hun slimme camera ook op andere plekken gebruiken. Daar lijkt het bij de gelekte wachtwoorden van Nederlanders ook op: er zitten duidelijk goede, unieke wachtwoorden bij die waarschijnlijk ook voor andere online diensten worden gebruikt.
Arcanum Group
De slecht beveiligde server is gevonden door The Arcanum Group, een anoniem hackerscollectief waar ook bezorgde ouders deel van uitmaken. Zij hebben het lek begin augustus bij Apexis en Sumpple gemeld, maar kregen geen gehoor. "Omdat er door de babyfoons ook kinderen bij betrokken zijn, voelen we ons genoodzaakt om mensen via de media over dit lek te informeren", vertelt een woordvoerder.
Apexis en Sumpple hebben ook op herhaaldelijke vragen van RTL Nieuws niet gereageerd. Groenewegen van Fox-IT vindt het 'schandalig' dat het bedrijf niet reageert. "Dit product zou je per direct van de markt moeten halen en de fabrikant moet hierop worden aangesproken, of misschien wel worden beboet."
Omdat de aangepaste wachtwoorden ook in de slecht beveiligde database worden opgeslagen, is de enige oplossing voor eigenaren van een Apexis- of Sumpple-camera om de stekker eruit te trekken en het apparaat niet meer te gebruiken. "Terugbrengen naar de winkel", stelt Groenewegen. "Het is een onveilig product, het is een ondeugdelijk product. En je geld terugvragen."
Let hierop als je een slimme camera koopt:
- Koop apparatuur van bekende merken.
- Kijk of de camera een fysiek schuifje heeft, zodat je de lens kunt bedekken als je thuis bent.
- Houd bij het plaatsen van de camera in je achterhoofd dat hackers het apparaat kunnen overnemen, en pas daarop het beeld aan.
- Installeer altijd de laatste updates voor je camera.
- Maak gebruik van een sterk wachtwoord voor je camera en/of account.
Trust en Hesdo
De Nederlandse bedrijven Trust en Hesdo kopen hun camera's in bij onder andere Apexis, maar gebruiken een andere inlogomgeving. Daardoor komen de inloggegevens van deze apparaten niet voor in het datalek. "Dat kunnen we na eigen onderzoek uitsluiten", laat een woordvoerder van Trust weten. De gelekte wachtwoorden van Trust-medewerkers die de Apexis-camera's testen, zijn waar nodig veranderd.
Huib Kiel, vicedirecteur van Hesdo, laat in een reactie weten dat het bedrijf vorig jaar is gestopt met het inkopen van Apexis-camera's. "We zijn op de slechte beveiliging gewezen en hebben toen besloten om te stoppen met de inkoop van deze apparaten." De camera's worden nu door een ander Chinees bedrijf gemaakt, waar Hesdo opnieuw zijn eigen firmware op plaatst.
Keurmerk
De Nederlandse overheid werkt samen met de Europese Commissie aan een keurmerk voor slimme apparaten. Apparaten die niet aan dit keurmerk voldoen, kunnen door het Agentschap Telecom (AT) van de markt worden verwijderd. Het keurmerk komt op zijn vroegst in 2021, laat een woordvoerder van het AT weten.
Groenewegen: "Consumenten moeten er vanuit kunnen gaan dat alle producten die ze in de winkel kopen goede producten zijn, ook digitaal. Zonder zo’n keurmerk blijven fabrikanten onveilige producten maken, en is het voor de consument onbegonnen werk om te snappen wat veilig is en wat niet."