In de woorden van het oude tv-programma: “Glimlach. Je bent op Candid Camera.” Maar volgens an FTC-rechtszaak Volgens de lakse beveiliging door een bedrijf dat internetcamera’s verkoopt, viel er voor de honderden consumenten wier privéleven online werd bekeken, niets te lachen.
Het in Californië gevestigde TRENDnet verkoopt technische apparatuur, waaronder IP-camera’s die veel kopers gebruiken voor beveiligingsdoeleinden, bijvoorbeeld om de baby of hun huis of bedrijf in de gaten te houden terwijl ze weg zijn. Gebruikers konden de camera instellen en de livefeed online bekijken vanaf een andere locatie. Maar de FTC zegt dat er een “oeps” was en dat het een echte kanjer was. Door een fout in de software kon de online feed worden bekeken (en in sommige gevallen gehoord) door iedereen met het internetadres van de camera.
De gevolgen voor de consument waren niet hypothetisch. De FTC zegt dat een hacker de fout in januari 2012 heeft bekendgemaakt. Het duurde niet lang voordat anderen links naar de livefeeds van bijna 700 camera’s plaatsten – wat betekent dat iedereen die daartoe bereid was in het geheim de baby’s van anderen in hun wiegjes kon bekijken, de spelende kinderen van iemand anders, of de dagelijkse gang van zaken bij gebruikers thuis.
Hoe gebeurde dat? Volgens de FTC heeft TRENDnet geen redelijke stappen ondernomen om veilige software te ontwikkelen en te onderhouden. Standaard vereiste TRENDnet dat gebruikers inloggegevens (een gebruikersnaam en wachtwoord) moesten invoeren om toegang te krijgen tot hun feeds. Maar vanwege de beveiligingsproblemen van het bedrijf was er een ‘achterdeur’ waardoor hackers een website konden bezoeken waar toegang kon worden verkregen tot de camerafeeds zonder ooit inloggegevens in te voeren. Bovendien heeft het bedrijf, zelfs als er inloggegevens werden gebruikt, deze in duidelijke, leesbare tekst via internet verzonden, ondanks gratis toegang tot software die de informatie zou hebben beveiligd. Dat maakte de camera’s nog kwetsbaarder. Wat het probleem nog groter maakte, was dat het bedrijf gebruikers een instelling gaf om de vereiste inloggegevens uit te schakelen. Dat, zegt de FTC, wekte bij redelijke consumenten de indruk zij hadden de controle over wie hun feed kon bekijken, en niet een willekeurige Joe die anoniem privé toekeek.
TRENDnet leverde ook apps zodat mensen hun feed via een mobiel apparaat konden bekijken. Die apps hadden de eerste keer inloggegevens nodig, maar bewaarden deze op het apparaat, zodat mensen ze daarna niet meer hoefden in te voeren. Ook hier zegt de FTC dat het bedrijf er niet in is geslaagd de inloggegevens te beveiligen en deze in platte tekst heeft opgeslagen, waardoor een extra beveiligingslek ontstond.
Oh, en hadden we al gezegd dat veel van de camera’s op de markt werden gebracht onder de handelsnaam “SecurView” en een sticker hadden met het woord SECURITY naast een afbeelding van een hangslot?
Volgens de klachtwaren de expliciete en impliciete beweringen van TRENDnet dat het bedrijf redelijke stappen had ondernomen om de veiligheid van gebruikers te garanderen onjuist. Ook onwaar: de bewering dat het bedrijf de door gebruikers gekozen beveiligingsinstelling zou respecteren. Bovendien beweert de klacht dat alles wat het bedrijf deed – en niet deed – er niet in slaagde een redelijke beveiliging te bieden om ongeoorloofde toegang tot live feeds te voorkomen. Dat kwam neer op een oneerlijke praktijk, zegt de FTC.
Om de zaak af te handelenTRENDnet zal een alomvattend beveiligingsprogramma moeten implementeren dat is ontworpen om gegevens te beschermen en beveiligingsrisico’s aan te pakken die zouden kunnen leiden tot ongeoorloofde toegang tot alle internettoegankelijke producten van het bedrijf, niet alleen IP-camera’s. TRENDnet zal de komende twintig jaar ook om de twee jaar onafhankelijke beveiligingsbeoordelingen van derden moeten ondergaan. Bovendien moeten ze consumenten op de hoogte stellen van het probleem, hen vertellen over de corrigerende beveiligingsupdate en twee jaar lang gratis technische ondersteuning bieden om mensen te helpen hun camera’s bij te werken of te verwijderen.
Wat wil de FTC dat bedrijven leren van deze schikking? Als u apparaten met internetverbinding verkoopt, neem dan redelijke maatregelen om de privacy en veiligheid van gebruikers te beschermen. Of u nu hardware, software of beide verkoopt, het is onverstandig om producten op de markt te brengen met grote gaten waar hackers misbruik van kunnen maken. Zorg bovendien voor een proces om fouten te ontdekken die van invloed kunnen zijn op uw producten en diensten. Volgens de klacht van de FTC hield TRENDnet de discussies over zijn producten online niet actief in de gaten, en vertraagde daardoor de kans om het probleem te achterhalen en het meteen op te lossen.
Als u een TRENDnet IP-camera bezit, zorg er dan voor dat u over de beveiligingspatch van het bedrijf beschikt. Als je een vergelijkbare camera van een ander bedrijf hebt gekocht, lees dan dit Veilig gebruik van IP-camera’s voor tips om de risico’s te verkleinen. Dat kan ook plaats een online reactie over de voorgestelde schikking. De deadline is 4 oktober.
Nu we het toch over thuistechnologie hebben, bekijk het laatste nieuws over de FTC Workshop Internet der Dingeningesteld voor 19 november 2013in Washington, DC.
