Koptelefoon voor skihelm lekt privégegevens 19.000 gebruikers
Een koptelefoon voor snowboard- en skihelmen blijkt de gegevens van 19.000 gebruikers te lekken en de fabrikant heeft ondanks herhaaldelijke pogingen van onderzoekers geen oplossing voor het datalek ontwikkeld. Het gaat om de Chips, een universele koptelefoon van fabrikant Outdoor Tech.
De koptelefoon wordt omschreven als een universeel en draadloos audiosysteem dat door middel van bluetooth aan de telefoon van de gebruiker te koppelen is. Het apparaat beschikt ook over een walkietalkiefunctie die mobiele data en een smartphone-app gebruikt. Zo kunnen gebruikers met andere mensen op de piste communiceren.
De walkietalkie-app bevat een zogeheten insecure direct object references (IDOR) kwetsbaarheid waardoor onderzoeker Alan Monie van securitybedrijf Pen Test Partners allerlei privégegevens van gebruikers kon opvragen. Het ging om de namen en e-mailadressen van 19.000 gebruikers, alsmede hun wachtwoordhashes en wachtwoordresetcode in plain text. Ook kon de onderzoeker het telefoonnummer van gebruikers zien en hun gps-locatie achterhalen. Tevens is het mogelijk om de walkietalkiegesprekken van gebruikers af te luisteren.
Pen Test Partners waarschuwde Outdoor Tech op 6 februari. Vijf dagen later reageerde een marketingmanager van het bedrijf. Op 13 februari stuurden de onderzoekers meer informatie over de kwetsbaarheid, maar kregen geen reactie. Een week later werd Outdoor Tech opnieuw benaderd dat het datalek geopenbaard zou worden. Wederom ontvingen de onderzoekers geen reactie.
Het kan uiteraard zijn dat je als bedrijf niet direct de oplossing weet. Maar je kunt op zijn minst even een bericht terugsturen dat de melding in goede orde is ontvangen en dat er naar een oplossing gezocht wordt. Eventueel met behulp van het securitybedrijf.
Maar je kunt op zijn minst even een bericht terugsturen dat de melding in goede orde is ontvangen en dat er naar een oplossing gezocht wordt. Eventueel met behulp van het securitybedrijf.
Van het bedrijf van die helm mag wel wat meer verwacht worden, maar dit beveiligingsbedrijf is niet professioneler. Problemen in software oplossen kost een bedrijven vaak een paar maanden en een professioneel beveiligingsbedrijf weet dat. Er is tijd nodig om de melding bij de juiste personen te laten ontvangen, dan moet het onderzocht worden. Als het uitbesteed is kost dat vaak ook extra tijd en dan moet er nog een oplossing voor komen. Maar in plaats van daar rekening mee te houden of de klanten te willen beschermen kiezen ze er voor om zo snel mogelijk met hun naam in de media te komen. Dit is geen professioneel beveiligingsbedrijf. Het lijkt meer op een paar enthousiastelingen die makkelijk geld willen verdienen aan een paar kunstjes dat ze met burp kunnen en zo snel mogelijk met hun naam de media opzoeken.
Kun je daarmee goed skiën?
Van een producent mag immers ook 'responsible production' worden verwacht, dus het goed testen op bugs en er is geen bewijs dat zulks is gebeurd. Daarnaast zijn de eindgebruikers in zo'n periode blootgesteld aan risico's en gaat de verkoop van een ondeugdelijk product maar door.
Alle reden om met wachten met openbaren in het kader van 'responsible disclosure' te stoppen.
Beetje lastig skieen :) :)
Kun je daarmee goed skiën?
Beetje lastig skieen :) :)
Als via dat draadje jouw koptelefoon wordt verbonden met de muziekinstallatie thuis, of met de persoon waar je mee belt, dan zal dat inderdaad wat storend zijn.
Maar een draadje van je helm naar je binnenzak, dat lijkt me niet perse een issue.
....
Als via dat draadje jouw koptelefoon wordt verbonden met de muziekinstallatie thuis, of met de persoon waar je mee belt, dan zal dat inderdaad wat storend zijn.
Maar een draadje van je helm naar je binnenzak, dat lijkt me niet perse een issue.
Misschien een klein beetje hinderlijk als je je skihelm wat vaker moet op- en afzetten. (Mijn ski-ervaring is erg gedateerd)
Maar het probleem zit, als ik het artikel lees niet in de 'draadloze koptelefoon' feature, maar in de 'walkie-talkie functie' die het apparaat heeft en werkt via een app op de telefoon. [en zeer waarschijnlijk met een stel cloudservers van de leverancier die dan een API met zwakheden aanbieden aan de apps op de telefoons ]
Beetje lastig skieen :) :)
Onzin. In de vorige eeuw had je ook al draagbare muziekinstallaties (walkmans) waar je prima mee kon hardlopen, fietsen, wandelen, en ja ook skieën. Het spul had geen enkele draadloze functionaliteit en de koptelefoons / oordopjes hadden een snoertje. Werkte allemaal prima en lekte geen privégegevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.