Energiemaatschappijen kunnen via slimme meters precies zien welke televisieprogramma's en films consumenten kijken. Dat onthulden onderzoekers tijdens het Chaos Computing Congress (28c3) in Berlijn, dat eind vorig jaar plaatsvond. Tijdens de lezing "Smart Hacking for Privacy" werd naar de privacygevolgen van slimme meters gekeken. Dario Carluccio en Stephan Brinkhaus onderzochten hoe veilig deze meters zijn en welke informatie ze verzamelen.
Energieleverancier Discovergy beloofde consumenten dat hun gegevens via HTTPS versleuteld werden en dat de verstuurde gegevens waren versleuteld en ondertekend, zodat niemand de data kon vervalsen. De beloften verdwenen van de website net voordat de presentatie op 30 december werd gegeven.
De onderzoekers ontdekten dat het SSL-certificaat verkeerd was geconfigureerd en een certificaatwaarschuwing veroorzaakt. Vervolgens werden ze naar een HTTP adres doorgestuurd, waar inloggegevens via platte tekst werden verstuurd. Consumenten kunnen via de webinterface alleen de laatste drie maanden zien, maar Carluccio en Brinkhaus ontdekten dat alle gegevens die de slimme meter verzamelt voor altijd op de servers van de energiemaatschappij blijven staan.
Kijkgedrag
Aangezien de verstuurde gegevens niet werden versleuteld, konden ze niet alleen de verstuurde gegevens lezen, maar ook manipuleren. De slimme meter bleek het stroomverbruik in intervallen van twee seconden te controleren. Aan de hand van het stroomverbruik van verschillende elektronische apparaten is het mogelijk om te laten zien wanneer de koelkast aan staat, of wanneer iemand thuis komt of gaat slapen.
Vervolgens werd er ook naar televisieschermen gekeken. Aan de hand van het stroomverbruik gebaseerd op de helderheid van het scherm bij verschillende televisieprogramma's en films, is het kijkgedrag vast te stellen. Aan de hand van de informatie die de slimme meter doorstuurt, kan de energiemaatschappij zien welke films klanten bekijken. De energiemaatschappij in kwestie beloofde beterschap en gaat de gegevens beter beschermen en de interval aanpasbaar maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...
In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...
Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?
Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.