In de woorden van het oude tv-programma: “Glimlach. Je bent op Candid Camera.” Maar volgens a FTC-rechtszaak bewerend dat de beveiliging van een bedrijf dat internetcamera’s verkoopt slecht was, viel er niets te lachen voor de honderden consumenten wier privéleven online werd gevolgd.
Het in Californië gevestigde TRENDnet verkoopt technologische apparatuur, waaronder IP-camera’s die veel kopers gebruiken voor veiligheidsdoeleinden, zoals om hun kind, hun huis of hun werk in de gaten te houden terwijl ze weg zijn. Gebruikers kunnen de camera instellen en de livefeed online bekijken vanaf een andere locatie. Maar de FTC zegt dat er sprake was van een “oeps” en dat het een totale toevalstreffer was. Door een fout in de software kon de online feed door iedereen met het internetadres van de camera worden bekeken (en in sommige gevallen beluisterd).
De gevolgen voor consumenten waren niet hypothetisch. De FTC zegt dat een hacker de fout in januari 2012 heeft bekendgemaakt. Het duurde niet lang voordat anderen links plaatsten naar livefeeds van bijna 700 camera’s, wat betekent dat iedereen die daartoe bereid was in het geheim naar de baby’s van anderen in hun wiegjes kon kijken, naar de spelende kinderen van iemand anders, of naar de dagelijkse gebeurtenissen bij gebruikers thuis.
Hoe is dit gebeurd? Volgens de FTC heeft TRENDnet geen redelijke stappen ondernomen om veilige software te ontwikkelen en te onderhouden. Standaard vereiste TRENDnet dat gebruikers inloggegevens (een gebruikersnaam en wachtwoord) moesten invoeren om toegang te krijgen tot hun feeds. Maar vanwege de veiligheidsoverwegingen van het bedrijf was er een ‘achterdeur’ waardoor hackers een website konden bezoeken waar ze toegang hadden tot camerafeeds zonder ooit hun inloggegevens in te voeren. Bovendien stuurde het bedrijf, zelfs als er inloggegevens werden gebruikt, deze in duidelijke, leesbare tekst via internet, ondanks gratis toegang tot software die de informatie zou beschermen. Dit maakte de camera’s nog kwetsbaarder. Wat het probleem nog groter maakte, was het feit dat het bedrijf gebruikers een instelling gaf om de vereiste voor inloggegevens uit te schakelen. Dit, zegt de FTC, wekte bij redelijke consumenten de indruk Zij ze hadden controle over wie hun feed kon bekijken, en niet een willekeurige Joe die anoniem privé toekeek.
TRENDnet heeft ook apps geleverd waarmee mensen hun feed via een mobiel apparaat kunnen bekijken. Deze apps vroegen de eerste keer om inloggegevens, maar sloegen deze op het apparaat op, zodat mensen deze later niet hoefden in te voeren. Opnieuw zegt de FTC dat het bedrijf er niet in is geslaagd de inloggegevens te beschermen en deze in platte tekst heeft opgeslagen, waardoor er weer een veiligheidslek is ontstaan.
Oh, en hadden we al gezegd dat veel camera’s op de markt werden gebracht onder de handelsnaam “SecurView” en een sticker met het woord SECURITY naast een afbeelding van een slot hadden?
Volgens de klachtDe expliciete en impliciete verklaringen van TRENDnet dat het bedrijf redelijke stappen had ondernomen om de veiligheid van de gebruiker te garanderen, waren vals. De verklaring dat het bedrijf de door gebruikers gekozen beveiligingsinstellingen respecteerde, was ook onjuist. Bovendien wordt in de klacht beweerd dat wat het bedrijf deed – en niet deed – er in het algemeen niet in slaagde een redelijke beveiliging te bieden om ongeoorloofde toegang tot live feeds te voorkomen. Volgens de FTC was dit een oneerlijke praktijk.
Om de zaak op te lossenTRENDnet zal een alomvattend beveiligingsprogramma moeten implementeren dat is ontworpen om gegevens te beschermen en beveiligingsrisico’s aan te pakken die zouden kunnen leiden tot ongeoorloofde toegang tot alle internettoegankelijke producten van het bedrijf, niet alleen IP-camera’s. TRENDnet zal de komende twintig jaar ook elke twee jaar een onafhankelijke beveiligingsbeoordeling door derden moeten ondergaan. Bovendien moeten ze consumenten op de hoogte stellen van het probleem, hen informeren over de beveiligingsupdate en twee jaar lang gratis technische ondersteuning bieden om mensen te helpen hun camera’s bij te werken of te verwijderen.
Wat wil de FTC dat bedrijven leren van deze schikking? Als u apparaten met internetverbinding verkoopt, neem dan redelijke maatregelen om de privacy en veiligheid van gebruikers te beschermen. Of u nu hardware, software of beide verkoopt, het is niet verstandig om producten op de markt te brengen met gigantische gaten waar hackers misbruik van kunnen maken. Zorg bovendien voor een proces voor het ontdekken van defecten die van invloed kunnen zijn op uw producten en diensten. Volgens de FTC-klacht hield TRENDnet de online discussies over zijn producten niet actief in de gaten, waardoor de mogelijkheid om het probleem te ontdekken en onmiddellijk op te lossen werd vertraagd.
Als u een TRENDnet IP-camera heeft, zorg er dan voor dat u over de beveiligingspatch van het bedrijf beschikt. Als je een soortgelijke camera bij een ander bedrijf hebt gekocht, lees dan verder Veilig gebruik van IP-camera’s voor tips over hoe u risico’s kunt verminderen. Jij ook plaats online een reactie over de voorgestelde oplossing. De deadline is 4 oktober.
Nu we het toch over thuistechnologie hebben, bekijk ook het laatste FTC-nieuws Internet of Things-laboratoriumingesteld voor 19 november 2013in Washington, DC.
