KPN Security: ‘Thuiswerkers afluisteren kinderlijk eenvoudig’

Een thuiswerker afluisteren tijdens een directievergadering, sollicitatiegesprek of werkoverleg? Via een onbeveiligde IP-camera in de woonkamer is dit kinderlijk eenvoudig, zo waarschuwt het Security Research Team (SRT) van KPN Security na een onderzoek. Het toont aan hoe belangrijk het is om camera’s te beveiligen met een sterk wachtwoord.

 

Dat onbevoegden via een onbeveiligde IP-camera kunnen meekijken in scholen, bedrijven en huiskamers is niet nieuw. Het lukte de onderzoekers van KPN Security echter ook om gebruikers via een slecht geconfigureerde camera af te luisteren. Dat is een pijnlijke constatering, zeker nu we massaal thuiswerken en zakelijke gesprekken voeren vanuit de studeer- of woonkamer.

 

Voor het opsporen van onbeveiligde IP-camera’s gebruikten de onderzoekers de ‘IoT-zoekmachine’ Shodan. Die beschikt over een uitgebreide database met aan het internet verbonden apparaten. Met een zeer specifieke zoekopdracht traceerden de onderzoekers in korte tijd honderden Nederlandse IP-, web- en netwerkcamera’s die onbeveiligd aan het internet hingen.

 

 

Het Security Research Team trof onder andere beelden aan waarop is te zien hoe kinderen door de ingang van hun school lopen en worden ontvangen door de leerkrachten. “De beelden boden ons voldoende aanknopingspunten om te achterhalen om welke school het ging zodat wij de onderwijsinstelling konden waarschuwen”, zegt Siep van der Waal, researcher bij KPN Security. “De betreffende school heeft nog dezelfde dag extra veiligheidsmaatregelen getroffen.”

 

De onderzoekers konden ook in verschillende woonkamers meekijken, en in sommige gevallen zelfs thuiswerkers afluisteren. Van der Waal: “Dat we ook audio konden oppikken, laat zien wat de consequenties kunnen zijn als je niet weet wat er allemaal in je thuisnetwerk hangt. Zeker nu veel meer mensen vanwege corona thuiswerken en thuis vergaderen en overleggen, liggen de bedrijfsgeheimen voor het oprapen.”

 

Maar ook in bedrijfsomgevingen gaat het lang niet altijd goed, en hangen camera’s onbeveiligd aan het internet. “Sommige streams die we tegenkwamen, waren met audio”, aldus Van der Waal. “Een aantal organisaties hebben we aan de hand van de streams kunnen opsporen en inlichten, zodat zij maatregelen konden nemen.”

 

 

“Met dit onderzoek hopen we bij te dragen aan de bewustwording op het gebied van security”, besluit Van der Waal. “Het is niet per se slecht om van een IP-camera gebruik te maken, maar dat moet je dan wel op een veilige en verantwoordelijke manier doen. Stel jezelf bijvoorbeeld de vraag of het echt nodig is om de audio in te schakelen, en of die verbinding met het internet iets toevoegt. En is er een goed en veilig wachtwoord ingesteld? Met een sterk wachtwoord kun je grote problemen heel eenvoudig voorkomen.”