Honderden camerabeelden via internet te bekijken
Zondag besteedt het televisieprogramma Pointer aandacht aan het gemak waarmee beelden van beveiligingscamera’s via internet zijn te bekijken. Nieuw is dit natuurlijk niet, want in de branche kent iedereen wel www.insecam.org, maar feit blijft dat nog altijd veel camera’s niet veilig worden geconfigureerd.
De meeste IP-camera’s krijgen in de fabriek een standaard gebruikersnaam en wachtwoord. Welk verschilt per merk, maar wie even googelt ziet dat de meeste merken admin admin gebruiken. Ook een trucje om IP-camera’s op internet op te sporen is binnen een halve minuut gevonden. Het IP-adres en het type camera zijn makkelijk te achterhalen en voor wie vervolgens de standaard inloggegevens gebruikt, is het in veel gevallen bingo. Insecam.org is een Russische website die nieuwsgierigen het werk uit handen neemt en gewoon beelden vertoont van camerasystemen, waarbij de installateur of gebruiker niet de moeite hebben genomen om het fabriekswachtwoord aan te passen.
Exacte locatiegegevens
De redactie van Pointer zegt de locatie van 50 camera’s te hebben achterhaald. Nu is dat niet zo moeilijk, want wie op Insecam.org een bepaald beeld selecteert, krijgt de exacte locatiegegevens en een plattegrond van een deel van Nederland, waarop ook alle andere ‘gehackte’ camera’s staan. Meestal zijn het vrij onschuldige beelden die te zien zijn, zoals de voortuin of de oprit van een woning. Uit de kwaliteit van de meeste beelden is af te leiden, dat hier doorgaans niet de beste vakman/vrouw aan het werk is geweest.
Pointer heeft ook onderzocht hoe het met handleidingen bij camera’s zit. Op dat gebied blijkt ook wel veel voor verbetering vatbaar. Veel camera’s zijn daardoor niet juist geconfigureerd en worden niet onderhouden met noodzakelijke updates.
Privacyschending
Het gaat niet altijd om ‘onschuldige’ beelden, waarbij het weinig uitmaakt of de hele wereld meekijkt. Pointer ontdekte ook camerabeelden van de behandelkamer van een orthodontist, een fysiotherapeut en een kinderhoek.
Volgens de Consumentenbond hebben fabrikanten van veel beveiligingscamera’s te weinig aandacht voor de beveiliging van hun producten. Er zijn hier ook geen afspraken of regels voor. In principe is de gebruiker zelf verantwoordelijk voor een veilig gebruik van de producten. De Consumentenbond is het hier niet mee eens en vindt dat gebruikers er vanuit mogen gaan dat een aangeschaft product veilig te gebruiken is, zonder dat hiervoor ingewikkelde handelingen nodig zijn. Dat vindt ook D66-Kamerlid Kees Verhoeven, die de kwestie de ‘meest concrete vorm van privacyschending’ noemt. Verhoeven en zijn collega Kathalijne Buitenweg van GroenLinks willen de kwestie vrijdag in de Tweede Kamer onder de aandacht brengen.
Wetgeving
Het probleem speelt niet alleen bij IP-camera’s. Ook internetrouters werken vaak met fabriekswachtwoorden, waardoor het heel eenvoudig is om op netwerken in te breken. Om dit in de toekomst te voorkomen is een Europees verkoopverbod voor onveilige producten in de maak. Wetgeving hieromtrent zou nog dit jaar moeten worden ingevoerd. 100 procent veiligheid is niet mogelijk, maar volgens privacy-expert Bart van der Sloot van Tilburg Institute for Law moet voorkomen worden dat producten ‘gewoon open staan by design’. Wat hem betreft mogen ook producten van de markt verdwijnen die door elk ‘handig neefje’ in no time te hacken zijn. De redactie van Pointer wist bij enkele online-camera’s ook de besturing over te nemen. Dat lukte onder andere bij een parkeergarage, een kroeg, een appartementencomplex en een stationswinkel. De gebruikers werden hierover geïnformeerd.
Sterk wachtwoord
De verantwoordelijkheid voor dit soort informatielekken ligt volgens de Autoriteit Persoonsgegevens bij ‘de partij die de verwerking van de persoonsgegevens doet’. Dat is de gebruiker van de camera’s, maar die is zich vaak niet bewust van de onveiligheid van zijn systeem. Daarom ziet de AP liever dat producten zodanig ontworpen worden, dat zij van zichzelf al veilig te gebruiken zijn. De betere camera’s zijn bijvoorbeeld pas te gebruiken nadat een voldoende sterk wachtwoord is ingevoerd.
Fabrikanten zijn terughoudend als het gaat om het aanvaarden van verantwoordelijkheid voor veilig gebruik. Je kan het een fabrikant volgens hen niet kwalijk nemen als er iets mis gaat, doordat een consument zijn product op een onzorgvuldige manier gebruikt. Nieuwe camera’s verplichten steeds vaker een goed wachtwoord in te stellen, maar er zijn nog talloze oudere camera’s in gebruik, die gewoon met admin admin zijn ingesteld. De Vereniging Erkende Beveiligingsbedrijven werkt aan een kwaliteitsregeling voor beveiligingscamera’s, waarbij ook op dit soort aspecten wordt gelet, maar zal niet kunnen voorkomen dat met name doe-het-zelvers met goedkope camera’s hun privacy te grabbel blijven gooien. De uitzending van Pointer is zondag 26 januari om 21.10 op NPO2.