image

AIVD roept op tot beter beveiligen van IP-camera's: 'Schakel UPnP uit'

vrijdag 10 juli 2026, 15:47 door Redactie, 20 reacties
Laatst bijgewerkt: 10-07-2026, 15:58

De AIVD roept eigenaren van IP-camera's op om de apparaten beter te beveiligen, bijvoorbeeld door de toegang vanaf het internet te beperken, Universal Plug and Play (UPnP) uit te schakelen en geen portforwarding te gebruiken. Aanleiding voor het advies is een spionageoperatie gericht tegen IP-camera's, die volgens de AIVD en MIVD door Russische statelijke hackers wordt uitgevoerd. Daarbij zou ook een klein aantal camera's in Nederland zijn gehackt, aldus de diensten. Vervolgens wordt geprobeerd om via de camera's informatie met betrekking tot militair-logistieke routes te verzamelen.

De aanvallers weten vaak op eenvoudige wijze toegang tot de camera's te krijgen, omdat die vaak onvoldoende zijn beveiligd. "Zo hebben ze vaak standaard wachtwoorden, verouderde firmware en standaard configuraties", stelt de AIVD. Volgens de diensten kunnen publieke en private partijen zelf allerlei maatregelen nemen om het risico op spionage zo klein mogelijk te maken. "Hierbij zijn met name het gezichtsveld en de toegankelijkheid van de IP-camera vanaf het internet belangrijk."

Het eerste advies betreft het beperken van de toegang tot de camera's vanaf het internet. Zo moeten livestreams niet publiek toegankelijk zijn, wordt het gebruik van portforwarding om de camera van buitenaf beschikbaar te maken afgeraden en moet Universal Plug and Play (UPnP) op de IP-camera worden uitgeschakeld. "Deze instelling zorgt ervoor dat portforwarding geautomatiseerd wordt", zo leggen de diensten uit.

Verder wordt het gebruik van een VPN om de camera te benaderen aangeraden, moeten onnodige protocollen zoals SSH, Bonjour, FTP, UPnP en Telnet worden uitgeschakeld en is het verstandig om het gezichtsveld van de IP-camera te beperken. Bij het gebruik van een IP-camera moet meteen het standaard ingestelde wachtwoord worden veranderd in een complex, uniek wachtwoord. De diensten adviseren ook het gebruik van een apart VLAN voor de IP-camera, gescheiden van de rest van het netwerk. Het admin-account moet alleen voor beheer worden gebruikt en niet voor toegang. Tevens waarschuwen de diensten ook voor camera's van Chinese fabrikanten.

"Voorkom dat IP-camera’s de zwakste schakel in je beveiliging vormen. Jouw IP-camera kan misbruikt worden door criminelen. Via jouw apparaten kunnen ze jouw beelden inzien van alles waar jouw camera's op gericht staan. Ook kunnen kwaadwillenden bijvoorbeeld DDoS-aanvallen uitvoeren met behulp van jouw apparaten. Het kan zijn dat je dat nauwelijks merkt, maar de gevolgen zijn er wel", zo laat het Nationaal Cyber Security Centrum (NCSC) weten.

Reacties (20)
10-07-2026, 16:09 door Anoniem
Goh, dus je "beveiligings"-camera op de openbare weg richten is niet alleen een slecht idee voor de privacy van passerende privépersonen maar ook voor de privacy van het land als geheel. Weer wat geleerd ;-).
10-07-2026, 16:22 door Anoniem
We kunnen ons beter beveiligen tegen de AIVD. Die blijkt elke keer weer sch**t aan de wet te hebben - nog afgezien van dat de wet veel te veel ruimte biedt. Die paar webcams zijn helemaal niks vergeleken bij wat de AIVD ons van onze belastingcenten flikt.

Overigens is spul aangemeld bij de popo ook nog zo'n dingetje. Zelf mag de popo het niet. Dus nu lekker via de burger kijken. In de DDR noemde men dat IMs. Een jaar of 80 terug werd een 3-letter afkorting gebruikt die begint met een N.

Los daarvan is het natuurlijk ook wel vragen om ellende om een camera aan internet te hangen. Maar dat is oud nieuws.

Ondanks alle aanbevelingen zal het met Chinese routers niet heel spannend zijn voor Russische 'hackers'. Xi en Putin zijn nogal dik zeg maar.
10-07-2026, 16:52 door Anoniem
Russen zijn nog steeds boos om hacken camera op toegangsdeur Cosy Bear.
10-07-2026, 18:55 door Anoniem
Door Anoniem: Goh, dus je "beveiligings"-camera op de openbare weg richten is niet alleen een slecht idee voor de privacy van passerende privépersonen maar ook voor de privacy van het land als geheel. Weer wat geleerd ;-).

Het gaat hier meer op uPNP dat standaard aan staat in de meeste routers, je prikt een camera in je interne netwerk en de camera zegt tegen de firewall geeft mij een open poort! Dus mensen weten niet dat hun camera op hun 'interne netwerk' direct beschikbaar is op Internet. En als je dan ook een goedkope Chinese camera hebt of je vergeet dat ding te updaten (dat doen ze dan weer vaak niet vanzelf) dan zal 't niet lang duren of je staat ergens in een index met firmware versienummer en al dus 't moment dat het daadwerkelijk lek is dan kan het binnen enkele seconden een device in je netwerk 'lid maken' van een gratis botnet service.

Handig als de russen illegale shit willen doen vanaf een Nederlands IP.
10-07-2026, 19:44 door Anoniem
Nu al?

Het advies om UPNP uit te zetten is al een jaar of 20-25 geleden gegeven.
10-07-2026, 20:01 door Anoniem
Dat is nog eens een advies, wauw, knappe koppen daar. Volgens mij wordt dat al een jaar of wat gezegd door iedereen die ook maar iets van techniek snapt. Dank u aivd u bent uw miljoenen weer waard.
10-07-2026, 20:28 door Anoniem
Tja misschien was het hele land vol camera's hangen geen goed idee. Je kan het niet bedenken.
10-07-2026, 21:21 door Anoniem
nb dat moet uit in de camera, maar op isp-router/modem....
10-07-2026, 23:01 door Anoniem
zijn ze wakker geworden aivd... ze zullen wel een dikke kont hebben
Gisteren, 05:35 door spatieman
ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...
Gisteren, 05:43 door Anoniem
Door Anoniem:
Door Anoniem: Goh, dus je "beveiligings"-camera op de openbare weg richten is niet alleen een slecht idee voor de privacy van passerende privépersonen maar ook voor de privacy van het land als geheel. Weer wat geleerd ;-).

Het gaat hier meer op uPNP dat standaard aan staat in de meeste routers...
.
Ik refereerde aan het doel, niet aan het middel.

Bij het in kaart brengen van militaire transportroutes en wat daarover vervoerd wordt zal het punt toch echt zijn om te zien wat er langs komt, op straat of wellicht ook op het spoor. Dan gaat het om waar de camera op gericht is, en is uPnP geen doel op zich maar een middel om toegang tot voor het doel interessante camerabeelden te bemachtigen.

Dat je om het doel te dwarsbomen het middel moet aanpakken is duidelijk, maar dat is niet waar ik aan refereerde.
Gisteren, 11:43 door Anoniem
Door spatieman: ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...
uPnP maakt dingen makkelijk voor mensen die het niet zelf weten in te stellen, dus dat verkoopt. Misbruik van uPnP hoeft de klant niet eens op te merken, en als die de gevolgen opmerkt zal die vaak geen idee hebben van waar die het aan toe moet schrijven, dus dat remt de verkoop niet. En als je zo'n fabrikant op zijn verantwoordelijkheid aan zou spreken zou die vermoed ik waarschijnlijk melden dat die verkoopt wat de klant wil, die kiest immers voor dat product.

Dat klinkt heel cynisch, maar ik denk dat het echt vaak daarop neerkomt.
Gisteren, 13:38 door Anoniem
Door Anoniem: Nu al?

Het advies om UPNP uit te zetten is al een jaar of 20-25 geleden gegeven.

Advies moet je herhalen.

Ik loop langs portieken met een politie sticker "doe de deur op slot" .

En dan denk jij dat iets over UPNP al vaak genoeg gezegd is dat "iedereen dat nu wel weet" of zo ?
Gisteren, 13:44 door Anoniem
Door spatieman: ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...

Oh, is dat niet vanwege de privacy freaks die zo'n hekel hebben aan "access via cloud" en lekker rechtstreeks hun thuisnetwerk willen bereiken ?


Beetje cynisch natuurlijk - maar upnp was altijd wat brak, dus de "moderne" manier van remote access is dat het device van binnenuit een verbinding opzet naar een centrale server, en de client ook naar die centrale server gaat en dan de sessies aan elkaar geknoopt worden.
Dat omzeilt erg veel problemen met inbound verkeer naar een thuis aansluiting, het niet nodig hebben van een vast IP adres op de thuis aansluiting, en (voor de vendor) dat het meestal ook een abonnements service verkoopt .

Door de hond of door de kat gebeten...
Gisteren, 13:57 door Anoniem
Door Anoniem:
Door spatieman: ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...
uPnP maakt dingen makkelijk voor mensen die het niet zelf weten in te stellen, dus dat verkoopt. Misbruik van uPnP hoeft de klant niet eens op te merken, en als die de gevolgen opmerkt zal die vaak geen idee hebben van waar die het aan toe moet schrijven, dus dat remt de verkoop niet. En als je zo'n fabrikant op zijn verantwoordelijkheid aan zou spreken zou die vermoed ik waarschijnlijk melden dat die verkoopt wat de klant wil, die kiest immers voor dat product.

Dat klinkt heel cynisch, maar ik denk dat het echt vaak daarop neerkomt.

tsja , natuurlijk.

In ander nieuws : ongeveer dezelfde mensen die typisch klagen over UPNP default aan steigeren in andere topics over locked devices die de eigenaar niet kan verkloten, en nog harder als een concept als "digitaal rijbewijs" in de een of andere vorm gesuggereert wordt.
Gisteren, 16:33 door Anoniem
Door Anoniem:
Door spatieman: ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...

Oh, is dat niet vanwege de privacy freaks die zo'n hekel hebben aan "access via cloud" en lekker rechtstreeks hun thuisnetwerk willen bereiken ?

Daarvoor gebruiken we VPN.
Gisteren, 17:40 door Anoniem
Door Anoniem: Nu al?

Het advies om UPNP uit te zetten is al een jaar of 20-25 geleden gegeven.
Je zou eens moeten weten hoe vaak ik verkeerd geconfigureerde modems tegenkom.
Gisteren, 18:33 door Anoniem
Door Anoniem:
Door spatieman: ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...

Oh, is dat niet vanwege de privacy freaks die zo'n hekel hebben aan "access via cloud" en lekker rechtstreeks hun thuisnetwerk willen bereiken ?
Nee, het is in 1999 door Microsoft bedacht, toen er nog helemaal geen cloud was om een hekel aan te hebben en toen we ook nog niet met smartphones rondliepen. Ook in 1999 is er een UPnP Forum opgericht waarin 800 leveranciers aan de standaard ervoor samenwerkten, en sinds 2016 wordt het bestierd door de Open Connectivity Foundation.

Door Anoniem: Beetje cynisch natuurlijk - maar upnp was altijd wat brak,
Klopt, er werd van begin af aan voor gewaarschuwd en ik heb het ook altijd uitgezet in breedbandmodems.

dus de "moderne" manier van remote access is dat het device van binnenuit een verbinding opzet naar een centrale server, en de client ook naar die centrale server gaat en dan de sessies aan elkaar geknoopt worden.
Dat omzeilt erg veel problemen met inbound verkeer naar een thuis aansluiting, het niet nodig hebben van een vast IP adres op de thuis aansluiting, en (voor de vendor) dat het meestal ook een abonnements service verkoopt .
Ik vermoed dat het vooral zo groot is geworden door de schaarste aan IPv4-adressen. Het dichtzetten van je thuisnetwerk kan ook met een vast IP-adres (dat dan wel beschikbaar moet zijn) prima met een firewall die als het goed is standaard in je modem zit en standaard dicht staat voor inkomend verkeer.

Ik ben me op een gegeven moment zelfs gaan afvragen of het in mijn ogen onbegrijpelijk traag zijn in gaan ondersteunen van IPv6 door providers daarmee te maken heeft. Er zijn er nu nog steeds die net doen alsof ze zelfs nog nooit van IPv6 gehoord hebben terwijl XS4ALL (pre-KPN) het ruim 15 jaar geleden al ondersteunde, wat een eeuwigheid geleden is in termen van ICT-ontwikkelingen. Er bestaat een enorme handel in persoonsgegevens, en dan kan het een lucratieve bij- of wie weet zelfs inmiddels hoofdverdienste zijn voor fabrikanten van apparaten om een plek te zijn waar verhandelbare gegevens langs moeten. Als dat inderdaad speelt dan zien die zien een inkomstenbron opdrogen als IPv6 een tussenpartij voor connectie met thuis volstrekt overbodig maakt. Het is mogelijk dat ik spoken zie, maar als er inderdaad een groot industrieel belang is bij zo lang mogelijk zo veel mogelijk mensen aan IPv4 kluisteren dan ligt achter de schermen invloed uitoefenen om dat voor elkaar te krijgen nogal voor de hand. Ik weet dus niet of dit gebeurt, maar ik kan het me voorstellen, ik zie het als een mogelijkheid die die onbegrijpelijke traagheid een verklaring zou geven.
Gisteren, 21:07 door Anoniem
Door Anoniem: Dat is nog eens een advies, wauw, knappe koppen daar. Volgens mij wordt dat al een jaar of wat gezegd door iedereen die ook maar iets van techniek snapt. Dank u aivd u bent uw miljoenen weer waard.

Als adviseur kan ik je vertellen dat het vreselijk is om steeds weer diezelfde open deur te mogen intrappen. Je geeft advies waarvan je denk, dit weet iedereen al 100 jaar. Dat is dan ook de reactie van de meeste CISO's, "ja, is bekend", " nee, niet bij ons, doen we niet". De praktijk blijkt dan na een jaartje of wat altijd weerbarstig. Oh, ergens stond toch nog een onbeheerd apparaat, ach met een default wachtwoord en teveel toegang.

Je kunt heel complex advies gaan geven, adviezen welke hele grote investeringen gaan kosten en waarvan iedereen denk:"wow, die zalnwel weten waar hij het over heeft". Heeft niemand wat aan als je de voordeur wagenwijd open laat staan.

Jouw reactie is een typische reactie van iemand die het allemaal wel weet. Vaak te makkelikk gedacht allemaal.... Maar heb jij echt als je IOT apparaten geupdated, voorzien van complex wachtwoord, heb jij geen vreselijke spyware apps gedownload, omdat je vond dat je ze 'nodig' had, heb jij 's nachts altijd het nachtslot erop, heb jij je auto in een faraday-zakje?? Pas als de basis op orde is krijg je slimme koppen om je te wijzen op de volgende stap.
Gisteren, 21:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door spatieman: ik snap niet dat upnp nog steeds in firmware wordt gebakken.
het is al decenia bekend dat dit een veiligheidsprobleem is...

Oh, is dat niet vanwege de privacy freaks die zo'n hekel hebben aan "access via cloud" en lekker rechtstreeks hun thuisnetwerk willen bereiken ?
Nee, het is in 1999 door Microsoft bedacht, toen er nog helemaal geen cloud was om een hekel aan te hebben en toen we ook nog niet met smartphones rondliepen. Ook in 1999 is er een UPnP Forum opgericht waarin 800 leveranciers aan de standaard ervoor samenwerkten, en sinds 2016 wordt het bestierd door de Open Connectivity Foundation.

Wist ik wel, maar ik wilde de cloud haters een beetje stangen.


Door Anoniem: Beetje cynisch natuurlijk - maar upnp was altijd wat brak,
Klopt, er werd van begin af aan voor gewaarschuwd en ik heb het ook altijd uitgezet in breedbandmodems.

dus de "moderne" manier van remote access is dat het device van binnenuit een verbinding opzet naar een centrale server, en de client ook naar die centrale server gaat en dan de sessies aan elkaar geknoopt worden.
Dat omzeilt erg veel problemen met inbound verkeer naar een thuis aansluiting, het niet nodig hebben van een vast IP adres op de thuis aansluiting, en (voor de vendor) dat het meestal ook een abonnements service verkoopt .
Ik vermoed dat het vooral zo groot is geworden door de schaarste aan IPv4-adressen. Het dichtzetten van je thuisnetwerk kan ook met een vast IP-adres (dat dan wel beschikbaar moet zijn) prima met een firewall die als het goed is standaard in je modem zit en standaard dicht staat voor inkomend verkeer.

Nee, dat denk ik niet. Het model "connectie via centrale internet hub" is al vrij lang de norm, langer dan de schaarste van IPs.

Het lost gewoon een heel scala aan "het werkt niet" problemen op - de adressering van thuisrouters was altijd al een probleem, zeker met ISPs waarbij het adres standaard rouleert .

Er zijn protocollen (ism een internet responder) om dat soort mappings te leren (STUN), deels gebruikt bij gaming.
Omdat UDP stateless is wordt UDP (ook) wel gebruikt om een NAT entry te maken waarna retour verkeer naar binnen kan.

Schaarste aan IPv4 is maar één van de problemen voor "direct inbound" verkeer, en was zeker niet de grootste.

Dan is er het open zetten van poorten (al dan via UPnP) , wat ook vaak genoeg NIET werkt - en dan krijgt de helpdesk van het apparaat dat inbound bereikt moet worden de problemen, om op tig modellen te weten hoe een portforward gemaakt moet worden .
Dan is het model "koppelen via een cloud instance" al heel snel ideaal, omdat het nagenoeg alle connectie problemen oplost . Zolang "normaal internet" (=browsen en streamen) werkt vanuit huis, werkt het bekijken van camera's (of home automation of whatever) ook.



Ik ben me op een gegeven moment zelfs gaan afvragen of het in mijn ogen onbegrijpelijk traag zijn in gaan ondersteunen van IPv6 door providers daarmee te maken heeft. Er zijn er nu nog steeds die net doen alsof ze zelfs nog nooit van IPv6 gehoord hebben terwijl XS4ALL (pre-KPN) het ruim 15 jaar geleden al ondersteunde, wat een eeuwigheid geleden is in termen van ICT-ontwikkelingen. Er bestaat een enorme handel in persoonsgegevens, en dan kan het een lucratieve bij- of wie weet zelfs inmiddels hoofdverdienste zijn voor fabrikanten van apparaten om een plek te zijn waar verhandelbare gegevens langs moeten. Als dat inderdaad speelt dan zien die zien een inkomstenbron opdrogen als IPv6 een tussenpartij voor connectie met thuis volstrekt overbodig maakt. Het is mogelijk dat ik spoken zie, maar als er inderdaad een groot industrieel belang is bij zo lang mogelijk zo veel mogelijk mensen aan IPv4 kluisteren dan ligt achter de schermen invloed uitoefenen om dat voor elkaar te krijgen nogal voor de hand. Ik weet dus niet of dit gebeurt, maar ik kan het me voorstellen, ik zie het als een mogelijkheid die die onbegrijpelijke traagheid een verklaring zou geven.

Technerds moeten eens ophouden met rare complotten als verklaring te nemen.
Ga gewoon werken bij een ISP of telco, dan leer je hoe beslissingen genomen worden.

Of kijk naar je huidige werk , en keuzes waarvan je WEET hoe ze genomen zijn, en wat voor een onzin daar meestal over gespeculeerd wordt op fora door hobbyisten.

Weinig complot , gewoon business - wat kost een project , en welk probleem lossen we er NU mee op .
Misschien dat nog meer CGNAT dozen de business case een keer gaan maken , als je met genoeg IPv6 die kunt afschalen.

En (ik heb me ook decennia geergerd) - om eerlijk te zijn, de doem van "IPv4 is op" is er gewoon niet zo heel erg.

En vooral : leren hoeveel MEER er nodig is dan een netwerk doos dat ethertype 0x86dd kan doorschuiven voor "IPv6 support" .
Dat is het simpele (en meestal goedkoopste) deel van een IPv6 project .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.