Zoals het oude tv-programma zegt: “Glimlach. Je bent op Candid Camera.” Maar volgens a FTC-rechtszaak Door de lakse beveiliging door bedrijven die internetcamera’s verkopen, kan niets hen aan het lachen maken voor honderden consumenten wier persoonlijke levens online worden gevolgd.
Het in Californië gevestigde TRENDnet verkoopt technische apparatuur, waaronder IP-camera’s die veel shoppers gebruiken voor beveiligingsdoeleinden, bijvoorbeeld om hun baby’s of hun huizen of bedrijven in de gaten te houden terwijl ze weg zijn. Gebruikers kunnen de camera instellen en live-uitzendingen online bekijken vanaf andere locaties. Maar de FTC zegt dat er een “oeps” was en dat is een complete leugen. Door een fout in de software kan de online feed door iedereen met het internetadres van de camera worden bekeken (en in sommige gevallen ook worden gehoord).
De gevolgen voor consumenten zijn niet hypothetisch. De FTC zegt dat een hacker de fout in januari 2012 openbaar heeft gemaakt. Het duurde niet lang voordat anderen links naar livefeeds van bijna 700 camera’s plaatsten – wat betekent dat iedereen die dat wilde in het geheim de baby’s van anderen in bed kon bekijken, de spelende kinderen van anderen of de dagelijkse activiteiten bij een gebruiker thuis.
Hoe kon dat gebeuren? Volgens de FTC heeft TRENDnet geen redelijke stappen ondernomen om veilige software te ontwikkelen en te onderhouden. Standaard vereist TRENDnet dat gebruikers inloggegevens (gebruikersnaam en wachtwoord) invoeren om toegang te krijgen tot hun feed. Maar vanwege de beveiligingsproblemen van het bedrijf was er een ‘achterdeur’ waardoor hackers websites konden bezoeken waar toegang was tot camerabeelden zonder dat ze inloggegevens hoefden in te voeren. Bovendien verzendt het bedrijf, zelfs als er inloggegevens worden gebruikt, deze in duidelijke, leesbare tekst via internet, ondanks gratis toegang tot software die de informatie kan beveiligen. Dit maakt de camera kwetsbaarder. Wat het probleem nog groter maakt, is dat het bedrijf gebruikers een instelling biedt om de vereiste inloggegevens uit te schakelen. Dat geeft consumenten volgens de FTC een redelijke indruk zij zij bepalen wie hun feed kan zien, en niet willekeurige Joes die anoniem privé kijken.
TRENDnet biedt ook een app waarmee mensen hun feed via mobiele apparaten kunnen bekijken. De app heeft de eerste keer inloggegevens nodig, maar slaat deze op het apparaat op, zodat mensen deze daarna niet meer hoeven in te voeren. Opnieuw zei de FTC dat het bedrijf er niet in was geslaagd de inloggegevens te beveiligen en deze in platte tekst op te slaan, waardoor er nog meer beveiligingslekken ontstonden.
Oh, en hadden we al gezegd dat veel camera’s op de markt worden gebracht onder de handelsnaam “SecurView” en voorzien zijn van een sticker met de tekst SECURITY naast een afbeelding van een hangslot?
Volgens klachtDe expliciete en impliciete beweringen van TRENDnet dat het bedrijf redelijke stappen heeft ondernomen om de gebruikersveiligheid te garanderen, zijn onjuist. Ook niet waar: verklaringen dat het bedrijf door de gebruiker geselecteerde beveiligingsinstellingen zal respecteren. Bovendien beweert de klacht dat wat het bedrijf wel en niet heeft gedaan, er niet in is geslaagd een redelijke beveiliging te bieden om ongeoorloofde toegang tot live feeds te voorkomen. Dat is een oneerlijke praktijk, aldus de FTC.
Om deze zaak op te lossenTRENDnet moet een alomvattend beveiligingsprogramma implementeren dat is ontworpen om gegevens te beschermen en veiligheidsrisico’s aan te pakken die zouden kunnen resulteren in ongeoorloofde toegang tot alle internetproducten van het bedrijf, niet alleen IP-camera’s. TRENDnet moet de komende twintig jaar ook elke twee jaar een onafhankelijke veiligheidsbeoordeling door een derde partij laten uitvoeren. Bovendien moeten ze consumenten op de hoogte stellen van het probleem, hen op de hoogte stellen van corrigerende beveiligingsupdates en twee jaar gratis technische ondersteuning bieden om mensen te helpen hun camera’s bij te werken of te verwijderen.
Wat wil de FTC dat bedrijven leren van deze schikking? Als u apparaten met internetverbinding verkoopt, neem dan redelijke maatregelen om de privacy en veiligheid van gebruikers te beschermen. Of u nu hardware, software of beide verkoopt, het is onverstandig om producten op de markt te brengen met mazen in de wet die hackers kunnen misbruiken. Zet daarnaast een proces op om zwakke punten te ontdekken die van invloed kunnen zijn op uw producten en diensten. Volgens de klacht van de FTC hield TRENDnet de discussies over zijn producten online niet actief in de gaten, waardoor de kans om het probleem te ontdekken en onmiddellijk op te lossen werd uitgesteld.
Als u een TRENDnet IP-camera heeft, zorg er dan voor dat u over de beveiligingspatches van het bedrijf beschikt. Als je een soortgelijke camera bij een ander bedrijf hebt gekocht, lees dan verder Veilig gebruik van IP-camera’s voor tips om risico’s te verminderen. Jij ook online commentaar geven over de voorgestelde schikking. De deadline is 4 oktober.
Nu we het toch over thuistechnologie hebben, bekijk de laatste informatie over de FTC Workshop Internet der Dingeningesteld voor 19 november 2013in Washington, DC.
