image

Honderdduizenden ip-camera's door datalek toegankelijk

zondag 22 september 2019, 18:28 door Redactie, 11 reacties

Honderdduizenden ip-camera's van de merken Apexis en Sumpple zijn door een datalek voor kwaadwillenden toegankelijk, zo hebben onderzoekers aan RTL Nieuws laten weten. Het gaat onder andere om 14.000 camera's in Nederland en 6.000 apparaten in België.

De meeste camera's bevinden zich in de Verenigde Staten (163.000), gevolgd door Duitsland (58.000) en Frankrijk (42.000), aldus RTL-journalist Daniel Verlaan vandaag op Twitter. De camera's worden onder andere via Amazon verkocht. Via een app kunnen gebruikers vanaf het internet met hun camera meekijken. Onderzoeker ontdekten dat de database met gebruikersgegevens zeer slecht beveiligd is. Daardoor kunnen kwaadwillenden eenvoudig de gegevens achterhalen waarmee het mogelijk is om met de camera's mee te kijken.

"De wachtwoorden van gebruikers worden wel degelijk versleuteld opgeslagen met Bcrypt, maar Sumpple bewaart alle API-calls naar de camera's in dezelfde database met daarin plaintext (!!!): e-mailadres, wachtwoord, token en ip-adres van de camera", stelt Verlaan. Apexis, het moederbedrijf van Sumpple, heeft het probleem nog altijd niet verholpen en reageerde ook niet op berichten van de journalist en de onderzoekers. Gebruikers krijgen dan ook het advies om ip-camera's van beide merken niet meer te gebruiken.

Image

Reacties (11)
22-09-2019, 23:25 door Anoniem
Mijn beveiligingscamera zit ook vol met lekken.
De beelden worden opgeslagen op een MicroSD.

De camera is echter niet aangesloten op het internet.
23-09-2019, 09:05 door Anoniem
Onlangs is er een hackcon geweest die hetzelfde aantoonde. (open deur) Er schijnen nogal veel verkeerd geconfigureerde API's / Cloud omgevingen te zijn met open directories en path traversal.
23-09-2019, 09:49 door Briolet
Nieuwe slogan: "View your world anywhere, anytime, anyone."

Bij een goede inlog procedure wordt het wachtwoord al clientside gehashed, waardoor er op de server niet eens de noodzaak is om de plaintekst wachtwoorden te kennen.
23-09-2019, 10:44 door Anoniem
Door Anoniem: Mijn beveiligingscamera zit ook vol met lekken.
De beelden worden opgeslagen op een MicroSD.

De camera is echter niet aangesloten op het internet.
Hoe weet je dan, dat e camera vol lekken zit?
23-09-2019, 12:33 door Anoniem
Alweer Amazon... Wanneer gaan mensen nu eens begrijpen dat Amazon bezig is met alleen maar bergen geld verdienen, goedkope Chinese rotzooi verkopen en lekker datamining doet met Alexa? Amazon is qua garantie al slecht, ze geven geen hans worst om de kopers. Verkoop maar rotzooi en laat het geld maar binnenstromen.
23-09-2019, 13:00 door Anoniem
Beveiligingscamera's zijn de ogen en oren van landen die graag vooraanstaan in de wereldmacht.
Want elke keer weer per ongeluk" zoveel domheid toepassen wil er bij mij niet in.
Als vooraanstaande wereldmacht is het natuurlijk best handig om overal ogen en oren te hebben.
Dankzij consumenten krijgen ze die.
23-09-2019, 13:08 door Anoniem
Door Briolet: Nieuwe slogan: "View your world anywhere, anytime, anyone."

Bij een goede inlog procedure wordt het wachtwoord al clientside gehashed, waardoor er op de server niet eens de noodzaak is om de plaintekst wachtwoorden te kennen.

Waar jij er van uit gaat dat er geen "pass the hash" mechanisme bestaat ?

hash downloaden van de server.. hash gebruiken om de camera te gebruiken.. voila..

Eminus
23-09-2019, 14:24 door swake - Bijgewerkt: 23-09-2019, 14:27
Dat zijn van die spotgoedkope chinese IP camera's(namaak) die niet eens mogen ingevoerd worden in de EU . Wanneer deze door de douane worden onderschept worden die vernietigd .
Wie zulke chinese IP camera's koopt en reeds betaald voor verzenden en word door de douane onderschept is zijn geld kwijt + nog eens een mooi gepeperd factuur van de douane voor de vernieigingskosten !
Goedkoop ten koste van uw privacy .
23-09-2019, 15:05 door Anoniem
Door swake: Dat zijn van die spotgoedkope chinese IP camera's(namaak) die niet eens mogen ingevoerd worden in de EU . Wanneer deze door de douane worden onderschept worden die vernietigd .
Wie zulke chinese IP camera's koopt en reeds betaald voor verzenden en word door de douane onderschept is zijn geld kwijt + nog eens een mooi gepeperd factuur van de douane voor de vernieigingskosten !
Goedkoop ten koste van uw privacy .

Geen idee wat jij allemaal brabbelt maar ik krijg ze gewoon nog binnen,
24-09-2019, 11:03 door Anoniem
Door swake: Dat zijn van die spotgoedkope chinese IP camera's(namaak) die niet eens mogen ingevoerd worden in de EU . Wanneer deze door de douane worden onderschept worden die vernietigd .
Wie zulke chinese IP camera's koopt en reeds betaald voor verzenden en word door de douane onderschept is zijn geld kwijt + nog eens een mooi gepeperd factuur van de douane voor de vernieigingskosten !
Goedkoop ten koste van uw privacy .

Dit is het zoveelste bericht over lekke camera's, ik begin zo langzamerhand te geloven dat er gewoon geen veilige IP camera's bestaan.

@Swake: dream on, bijna alle IP-camera's worden in China gemaakt en gewhitelabelled verkocht door honderden "camera leveranciers" . Volgens mij weet je niet waarover je het hebt. En ja, ik krijg ze ook gewoon binnen.

even ter lering en vermaak een greep het van nieuws hier, uit de oude doos:

https://www.security.nl/posting/619272/Populaire+ip-camera+door+lek+op+afstand+af+te+luisteren

https://www.security.nl/posting/581781/Onderzoek%3A+9+miljoen+ip-camera%27s+toegankelijk+door+cloudfeature

https://www.security.nl/posting/506580/Ernstig+beveiligingslek+in+honderdduizenden+ip-camera%27s

IoT security en IP-camera beveiliging is en blijft een ondergeschoven kindje zolang er niet iets gedaan wordt aan leveranciers die willen en wetens onveilige producten op de markt gooien.
26-09-2019, 09:23 door swake - Bijgewerkt: 26-09-2019, 09:30
Door Anoniem:
Door swake: Dat zijn van die spotgoedkope chinese IP camera's(namaak) die niet eens mogen ingevoerd worden in de EU . Wanneer deze door de douane worden onderschept worden die vernietigd .
Wie zulke chinese IP camera's koopt en reeds betaald voor verzenden en word door de douane onderschept is zijn geld kwijt + nog eens een mooi gepeperd factuur van de douane voor de vernieigingskosten !
Goedkoop ten koste van uw privacy .

Dit is het zoveelste bericht over lekke camera's, ik begin zo langzamerhand te geloven dat er gewoon geen veilige IP camera's bestaan.

@Swake: dream on, bijna alle IP-camera's worden in China gemaakt en gewhitelabelled verkocht door honderden "camera leveranciers" . Volgens mij weet je niet waarover je het hebt. En ja, ik krijg ze ook gewoon binnen.

even ter lering en vermaak een greep het van nieuws hier, uit de oude doos:

https://www.security.nl/posting/619272/Populaire+ip-camera+door+lek+op+afstand+af+te+luisteren

https://www.security.nl/posting/581781/Onderzoek%3A+9+miljoen+ip-camera%27s+toegankelijk+door+cloudfeature

https://www.security.nl/posting/506580/Ernstig+beveiligingslek+in+honderdduizenden+ip-camera%27s

IoT security en IP-camera beveiliging is en blijft een ondergeschoven kindje zolang er niet iets gedaan wordt aan leveranciers die willen en wetens onveilige producten op de markt gooien.

https://www.hln.be/geld/douane-in-eu-onderschepte-vorig-jaar-31-miljoen-namaak-en-valse-producten~a9c96ba4/?referer=https%3A%2F%2Fwww.google.com%2F

Chinese namaak invoeren is strafbaar binnen de EU !
Chinezen zijn 1000 x slimmer dan westerlingen .
De IP camera's zijn niet lek . De wachtwoorden worden niet versleuteld opgeslagen en bewaard . Beter leren lezen !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.