Honderdduizenden ip-camera's door datalek toegankelijk

[Captain Kirk]

Honderdduizenden ip-camera's van de merken Apexis en Sumpple zijn door een datalek voor kwaadwillenden toegankelijk, zo hebben onderzoekers aan RTL Nieuws laten weten. Het gaat onder andere om 14.000 camera's in Nederland en 6.000 apparaten in België.

De meeste camera's bevinden zich in de Verenigde Staten (163.000), gevolgd door Duitsland (58.000) en Frankrijk (42.000), aldus RTL-journalist Daniel Verlaan vandaag op Twitter. De camera's worden onder andere via Amazon verkocht. Via een app kunnen gebruikers vanaf het internet met hun camera meekijken. Onderzoeker ontdekten dat de database met gebruikersgegevens zeer slecht beveiligd is. Daardoor kunnen kwaadwillenden eenvoudig de gegevens achterhalen waarmee het mogelijk is om met de camera's mee te kijken.

"De wachtwoorden van gebruikers worden wel degelijk versleuteld opgeslagen met Bcrypt, maar Sumpple bewaart alle API-calls naar de camera's in dezelfde database met daarin plaintext (!!!): e-mailadres, wachtwoord, token en ip-adres van de camera", stelt Verlaan. Apexis, het moederbedrijf van Sumpple, heeft het probleem nog altijd niet verholpen en reageerde ook niet op berichten van de journalist en de onderzoekers. Gebruikers krijgen dan ook het advies om ip-camera's van beide merken niet meer te gebruiken.

 

 

bron: security.nl