In de woorden van het oude tv-programma: “Glimlach. Je bent op Candid Camera.” Maar volgens één FTC-rechtszaak Het beweren van lakse beveiliging door een bedrijf dat webcams verkoopt, was niets om over te lachen voor de honderden consumenten wier privacy online werd gecontroleerd.
Het in Californië gevestigde TRENDnet verkoopt technische apparatuur, waaronder IP-camera’s, die veel kopers gebruiken voor beveiligingsdoeleinden, bijvoorbeeld om de baby of hun huis of bedrijf in de gaten te houden terwijl ze onderweg zijn. Gebruikers konden de camera instellen en de livefeed online bekijken vanaf een andere locatie. Maar de FTC zegt dat er een ‘oeps’ was, en dat het een echte opschudding was. Door een bug in de software kon de online feed gezien (en in sommige gevallen gehoord) worden door iedereen met het internetadres van de camera.
De gevolgen voor consumenten waren niet hypothetisch. De FTC zegt dat een hacker de fout in januari 2012 heeft onthuld. Het duurde niet lang voordat anderen links naar livefeeds van bijna 700 camera’s plaatsten – wat betekent dat iedereen die daartoe bereid was, in het geheim kon kijken naar de baby’s van anderen in hun wiegjes, naar de spelende kinderen van anderen of naar het dagelijkse reilen en zeilen in de huizen van gebruikers.
Hoe is het gebeurd? Volgens de FTC heeft TRENDnet geen redelijke stappen ondernomen om veilige software te ontwikkelen en te onderhouden. Standaard vereiste TRENDnet dat gebruikers inloggegevens (een gebruikersnaam en wachtwoord) moesten invoeren om toegang te krijgen tot hun feeds. Vanwege de beveiligingsfouten van het bedrijf was er echter een “achterdeur” waardoor hackers een website konden bezoeken waar toegang was tot camerafeeds zonder ooit inloggegevens in te voeren. Bovendien stuurde het bedrijf, zelfs als er inloggegevens werden gebruikt, deze in duidelijke, leesbare tekst over het internet, ondanks gratis toegang tot software die de informatie zou hebben beveiligd. Dit maakte de camera’s nog kwetsbaarder. Wat het probleem ingewikkelder maakte, was dat het bedrijf gebruikers de mogelijkheid bood om de vereiste voor inloggegevens uit te schakelen. Dat, zegt de FTC, gaf redelijke consumenten de indruk de hadden de controle over wie hun feed kon zien, en niet een willekeurige Joe die anoniem toekeek.
TRENDnet leverde ook apps zodat mensen hun feed via een mobiel apparaat konden bekijken. Deze apps hadden de eerste keer inloggegevens nodig, maar sloegen deze op het apparaat op, zodat mensen deze achteraf niet hoefden in te voeren. Ook hier zegt de FTC dat het bedrijf er niet in is geslaagd de inloggegevens te beveiligen en deze in platte tekst heeft opgeslagen, waardoor een extra beveiligingslek ontstond.
Oh, en hadden we al gezegd dat veel van de camera’s op de markt werden gebracht onder de handelsnaam “SecurView” en een sticker hadden met het woord SECURITY naast een afbeelding van een hangslot?
Volgens klachtDe expliciete en impliciete beweringen van TRENDnet dat het bedrijf redelijke stappen had ondernomen om de veiligheid van gebruikers te garanderen, waren vals. Ook niet waar: de verklaring dat het bedrijf de door gebruikers gekozen beveiligingsinstelling zou respecteren. Bovendien beweert de klacht dat wat het bedrijf deed – en niet deed – in het algemeen geen redelijke beveiliging bood om ongeoorloofde toegang tot live feeds te voorkomen. Het was een oneerlijke praktijk, zegt de FTC.
Om de zaak af te handelenTRENDnet zal een alomvattend beveiligingsprogramma moeten implementeren dat is ontworpen om gegevens te beschermen en beveiligingsrisico’s aan te pakken die zouden kunnen leiden tot ongeoorloofde toegang tot alle internetproducten van het bedrijf, niet alleen IP-camera’s. TRENDnet zal de komende twintig jaar ook elke twee jaar onafhankelijke veiligheidsbeoordelingen van derden moeten ondergaan. Bovendien moeten ze consumenten op de hoogte stellen van het probleem, hen vertellen over de corrigerende beveiligingsupdate en twee jaar lang gratis technische ondersteuning bieden om mensen te helpen hun camera’s bij te werken of te verwijderen.
Wat wil de FTC dat bedrijven leren van deze schikking? Als u apparaten met internetverbinding verkoopt, moet u redelijke stappen ondernemen om de privacy en veiligheid van gebruikers te beschermen. Of u nu hardware, software of beide verkoopt, het is onverstandig om producten op de markt te brengen met gapende gaten waar hackers misbruik van kunnen maken. Zorg er ook voor dat er een proces is om bugs op te sporen die van invloed kunnen zijn op uw producten en services. Volgens de klacht van de FTC hield TRENDnet de discussies over zijn producten online niet actief in de gaten, waardoor de kans om het probleem te achterhalen en het meteen op te lossen, werd uitgesteld.
Als u een TRENDnet IP-camera bezit, zorg er dan voor dat u over de beveiligingspatch van het bedrijf beschikt. Als je een soortgelijke camera bij een ander bedrijf hebt gekocht, lees dan verder Veilig gebruik van IP-camera’s voor tips om de risico’s te verkleinen. Dat kun jij ook doen plaats een online reactie over de voorgestelde schikking. De deadline is 4 oktober.
Nu we het toch over thuistechnologie hebben, bekijk het laatste nieuws over de FTC’s Workshop Internet der Dingeningesteld op 19 november 2013in Washington, DC.
