Een aanvaller is de afgelopen dagen erin geslaagd om op tientallen Nest-camera's in te loggen doordat de eigenaren hun wachtwoord hadden hergebruikt. Vervolgens gaf de aanvaller de eigenaren via de microfoon van de camera de opdracht om zich op het kanaal van YouTube-ster PewDiePie te abonneren.

Tegenover Vice Magazine laat de aanvaller weten dat hij gebruikmaakt van gebruikersnamen en wachtwoorden die via datalekken openbaar zijn geworden. Met deze gelekte inloggegevens probeert de aanvaller vervolgens op Nest-accounts in te loggen. Dit is mogelijk omdat de eigenaren het gelekte wachtwoord ook voor hun Nest-account gebruiken. De aanvaller claimt dat hij op deze manier inmiddels de juiste inloggegevens voor 4.000 Nest-accounts in handen heeft. Deze accounts geven weer toegang tot de Nest-camera van de gebruiker.

Het inloggen op Nest-camera's via hergebruikte wachtwoorden is niet nieuw. Vorige maande stelde Alphabet, het moederbedrijf van Nest en Google, dat het bekend is met wachtwoorden die bij andere bedrijven of websites zijn gestolen en worden gebruikt om Nest-camera's te benaderen. Gebruikers krijgen dan ook het advies een uniek wachtwoord in te stellen en tweefactorauthenticatie voor hun Nest-account te gebruiken.