Onderzoekers hebben meerdere kritieke lekken in de digitale videorecorders van Hikvision ontdekt waardoor een aanvaller de apparaten op afstand volledig kan overnemen, maar de Chinese fabrikant heeft nog altijd niet op de bugmeldingen gereageerd, waardoor mogelijk duizenden gebruikers risico lopen.

Digitale videorecorders (DVR), soms ook als netwerkvideorecorders (NVR) aangeduid, worden gebruikt als opslag door beveiligingscamera's en surveillancesystemen. De recorders van fabrikant Hikvision zijn daarbij een populaire keuze, wat vermoedelijk komt door de iPhone-app waarmee de beveiligingsbeelden live zijn te bekijken. Bij een scan op internet werden zo'n 150.000 recorders van de fabrikant ontdekt die via het internet bereikbaar zijn.

Naast het feit dat deze apparaten standaard de gebruikersnaam "admin" en het wachtwoord "12345" gebruiken, ontdekten onderzoekers van het Amerikaanse beveiligingsbedrijf Rapid7 drie kwetsbaarheden die tot een buffer overflow leiden waardoor een aanvaller de recorder volledig kan overnemen. Het versturen van een speciaal geprepareerd pakketje is hiervoor voldoende.

De onderzoekers waarschuwden in september van dit jaar Hikvision, maar ontvingen geen reactie. Tot er beveiligingsupdates beschikbaar zijn krijgen gebruikers dan ook het advies om de recorder niet aan het internet te hangen, of dit alleen met aanvullende beveiligingsmaatregelen te doen, zoals VPN-toegang of een geauthenticeerde proxy. De apparatuur van Hikvision wordt ook in Nederland verkocht.