Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Ring-medewerkers konden met alleen mailadres meekijken slimme deurbel' - update

Bepaalde medewerkers van de maker van slimme deurbellen Ring hadden alleen een e-mailadres van een klant nodig om live mee te kunnen kijken met videostreams van de producten, claimt The Intercept. Ring ontkent het bericht.

De site schrijft op basis van informatie van bronnen dat bepaalde medewerkers in de VS toegang kregen tot de live-feeds, zonder dat dit nodig was voor hun functie. De bronnen zouden geen voorbeelden kennen van ernstig misbruik van de bevoegdheid, maar noemen wel dat de medewerkers zo camera's van bijvoorbeeld journalisten of concurrenten konden zien.

Het bericht volgt op een artikel van eind december van The Information over twijfelachtige toegang tot camerabeelden binnen het bedrijf. Ring zou de onderzoeksafdeling in Oekraïne, Ring Labs, nagenoeg ongelimiteerde toegang geven tot een map op Amazon S3-opslag met daarin elke video van elke Ring-camera wereldwijd. Medewerkers van het r&d-onderdeel zouden deze met een enkele klik kunnen bekijken of downloaden.

De video's zouden onversleuteld staan opgeslagen en een database waar de onderzoeksgroep ook toegang toe heeft zou gegevens bevatten waarmee de video's gelinkt worden aan de desbetreffende klanten. Ring Labs zou de toegang onder andere gekregen hebben om computervision-algoritmes te trainen om objecten en personen op de beelden te herkennen. Ring is sinds vorig jaar in handen van Amazon.

Update, 11.00: Ring geeft in een reactie aan alleen Ring-opnames die publiek gedeeld zijn via de Neighbors-app te bekijken, waar gebruikers op basis van de algemene voorwaarden mee akkoord zijn gegaan. Daarnaast zou het om een klein aantal gebruikers gaan die daarvoor expliciet toestemming hebben gegeven.

"Ring-medewerkers hebben geen toegang tot de livestreams van Ring-producten", stelt het bedrijf. Ring meldt verder dat er systemen zijn die toegang tot data voorkomen en dat misbruik gestraft wordt.

Door Olaf van Miltenburg

Nieuwscoördinator

11-01-2019 • 09:03

172 Linkedin Google+

Submitter: himlims_

Reacties (172)

Wijzig sortering
Dit soort apparaten is afhankelijk van de server van de leverancier. Ring is slechts één van de vele voorbeelden: 'slimme' thermostaten hebben massaal hetzelfde probleem, verlichting ook in steeds grotere mate. Laten we het buzz-word 'smart' overigens vervangen door '(cloud) connected', dat lekt de lading vaak beter.

Het privacy-risico is groot en slechts een deel van het probleem. Als Ring de stekker uit de server trekt heb je ineens een nutteloos apparaat aan je deur hangen. Dat is geen ondenkbaar risico: er zijn al diverse voorbeelden waarbij leveranciers de stekker uit de server halen of de voorwaarden dusdanig wijzigen dat je zelf geen gebruik meer wilt maken van de diensten.

Er zou eigenlijk wetgeving moeten komen waarbij consumenten kunnen eisen dat hun 'slimme' apparaten ook blijven werken zonder tussenkomst van de fabrikant. Helemaal zonder derde partij is wellicht lastig (je kunt niet van iedereen verwachten dat ze een Raspberry Pi o.i.d. installeren), maar een andere aanbieder kiezen is een mooie eerste stap.

[Reactie gewijzigd door StephanVierkant op 11 januari 2019 09:15]

True; ik heb een slimme thermostaat van een bedrijf die ik geen 10 jaar zie bestaan. Ik bewaar m'n oude draaithermostaat gewoon. Ik vraag me af of het protocol tussen de aanbieder en de connector dongle te hacken is, of dat ze die open gooien als het bedrijf falliet gaat.
Ik heb gekozen voor een slimme thermostaat die je ook nog kan bedienen (fysiek) als de leverancier de stekker uit de cloud trekt. De app en gh werken dan niet meer maar daar is nog wel overheen te komen.

Al zie ik Honeywell niet direct over de kop gaan, maar de smart home afdeling kan zo maar opgedoekt worden tzt.

En mocht dat idd gebeuren dan is het meteen het einde qua "smart connected" producten voor mij waarschijnlijk.

Ik hoop dat er ooit nog een soort universele hub voor in huis komt die offline (lees: wifi lan) kan communiceren met "alle" smart devices. Maar dan zal er een duidelijke standaard moeten komen qua communicatie.
Al zie ik Honeywell niet direct over de kop gaan, maar de smart home afdeling kan zo maar opgedoekt worden tzt.
Nah, dat dacht ik ook van Enecsys. En daar zat ik - een half jaar na aanschaf van een monitoring-apparaat voor mijn zonnepanelen - ineens met een apparaat van €200 dat ik als boekensteun kon gaan gebruiken.

Uiteindelijk was er een slimmerik die het spul gebackward-ge-engineerd heeft en nu werkt het weer, zij het samen met een rpi, maar ik was er wel chagrijnig van. Helemaal toen een jaar later een van mijn micro-inverters de geest gaf. Daar sta je dan met 20 jaar garantie en een failliet bedrijf.
Oh ja maar ik ga er ook wel van uit dat het een keertje gaat gebeuren.

Maar ja das het risico dat je van tevoren weet dat je loopt, kan er niet heel erg mee zitten, zoalg ie maar bruikbaar is als normale thermostaat. En als je heel eerlijk ben kan het ook niet zonder een soort abbo vorm eeuwig ondersteund blijven, tenzij ze mensen zo gek krijgen iedere 5 jaar een nieuwe te kopen, weinig kans met thermostaten. :)

Moet alleen niet 3 weken nadat je zo'n apparaat koopt gebeuren. :P

[Reactie gewijzigd door Flagg op 11 januari 2019 12:37]

Dat is het beste wat een bedrijf kan doen. Heel kort bestaan, geld pakken en na een paar jaar plots failliet gaan. Dat is nu eenmaal de realiteit. Ze beginnen dan gewoon een ander bedrijf.
of dat ze die open gooien als het bedrijf falliet gaat.
Ga daar maar niet vanuit. Als ze failliet zijn is er geen geld meer, en opengooien kost geld.
Dat zou je in de wet kunnen opnemen dat ze het bij een notaris of digitale kluis of zo stallen; bij fallissement stoppen de betalingen; > het komt automatisch vrij. Zelfde geld voor DRM, game server code etc.
Gokje, die icy box thermostaat van Essent? ;)

Ze zouden inderdaad op zijn minst een ingebouwd webservertje moeten hebben met de basic commando's...
Ik ben het grotendeels met je eens maar zou een aantal zaken iets willen nuanceren.

"Het privacy-risico is groot en slechts een deel van het probleem."
Dat privacy risico is, naast de verantwoordelijkheden van de aanbieder, zo groot als je het zelf maakt. Bij slimme apparaten zul je als consument echt moeten gaan nadenken over hoe de voordelen ook nadelen met zich meebrengen. Ik heb daarom enkel en alleen camera's buiten mijn huis geplaatst en niet in mijn huis. Ook zijn ze aangesloten op een eigen VLAN en staat verkeer naar buiten dicht. Tuurlijk zijn er risico's, echter die zijn per device, oplossing en toepassing verschillend van niet bestaand tot groot van aard.

"Als Ring de stekker uit de server trekt heb je ineens een nutteloos apparaat aan je deur hangen."
Als Ring de stekker eruit trekt vallen er inderdaad bepaalde services weg (opslaan van video in de cloud en terugkijken ervan) Je hebt niet gelijk een nutteloos apparaat aan je deur hangen. Je krijgt nog steeds motion alerts, hot zones, video bellen en notificaties op je telefoon.

Na een inbraak in mijn huis voel ik me overigens een heel stuk veiliger met een Ring deurbel aan mijn buitenmuur. Ben ik nu beter beveiligd? Waarschijnlijk niet, kunnen medewerkers van Ring bij mij op de stoep meekijken naar de overburen? Waarschijnlijk kennelijk wel. Echter als je e.e.a. goed inricht zijn die nadelen tot een minimum te beperken en zijn de voordelen heel erg fijn!

[Reactie gewijzigd door Inspector op 11 januari 2019 10:18]

Volgens mij lopen die video gesprekken, notificaties e.d. ook via de server van Ring. Althans toen ons abbonoment afliep en we de mail gemist hadden om te verlengen. hadden we een blok dat niks deed aan de muur hangen. Enige wat volgens mij niet via de servers van Ring loopt is de extra module zodat je ook een bel hebt die je binnenhuis hoort.
De f.a.q. van ring en mijn ervaring zijn anders :)

https://shop.ring.com/pages/faq
Helaas, de bel is wel met WiFi verbonden, maar alleen om vervolgens alles via hun servsers te laten bedienen ;)
De push etc. komt ook vanaf hun server

[Reactie gewijzigd door Olifant1990 op 11 januari 2019 10:30]

Hmmm er is natuurlijk een verschil of die servers totaal uitgeschakeld worden of dat je simpelweg de subscription niet meer af neemt. In het geval van die eerste is het inderdaad een nutteloos ding geworden. Bij die 2e is het nog steeds een prima ding.
Een subscription op een deurbel. Wakker worden mannen.

Als ik op een dag opstond, en in mijn huis hangt een deurbel waarmee ik aan een abbo hang, ga ik om hulp zoeken.

[Reactie gewijzigd door BlaDeKke op 11 januari 2019 12:37]

Je hebt ook al wasmachines waar je een abonnement voor moet hebben, of het ding werkt niet meer.

Pay per wash en alles. Kom dat zien!

Er zijn al veel mensen die om hulp moeten gaan zoeken, inderdaad. Er zijn al hele industrieën onstaan om die mensen zo volledig mogelijk uit te zuigen.
Oke, dus als je internet eruit ligt dan ook geen bel meer?
Dus je bent zelf wel bezig met je privacy, maar dat van de buren of mensen die voorbij lopen boeit je niet. Hoe kan het dat deze deurbel legaal is? Je mag als particulier toch hoe dan ook niet een camera naar de straat richten?
Je mag als bedrijf of winkel ook niet zomaar een camera naar de straat richten. Je mag dat gewoon niet.
Laten we het buzz-word 'cloud' connected overigens vervangen door 'verbonden met server' of 'verbonden met andersmans computer', dat het geen vals gevoel van veiligheid geeft ;)

[Reactie gewijzigd door Rexus op 11 januari 2019 10:11]

"Connected" dekt die lading ook, en zo kunnen we nog aan verkopers verkopen dat het een hip zoemwoord is. Dan gaat een weldenkend persoon zich wel afvragen "Verbonden, waarmee dan?" Voor wie dat niet denkt, persoonlijke verantwoordelijkheid.
Want cloud staat bij jou gelijk aan veiligheid? Ook niet helemaal slim om dat te doen. Nee cloud connected dekt de lading het beste.
Oh nee dat zeker niet!

Maar Cloud maakt het feit dat die camera in je huis verbonden is met andermans computer wat zweverig. :+
Wat dacht je van Mass Surveillance Device.
Ja deze beelden kunnen natuurlijk ook gewoon opgevraagd worden door de politie.
Ik vind iot heel erg leuk maar kijk er wel mee uit. Ik heb dus wel een Raspberry pi thuis draaien voor dit soort zaken en houd alles lokaal afgezien van Google Home. Alles wat niet alleen lokaal kan wordt door de firewall toegang naar buiten ontzegd. Maar je hebt wel gelijk dat zoiets niet voor iedereen te doen is.
... houd alles lokaal afgezien van Google Home...
Epic...
Haha, ja de ironie ;)
Ik weet het...

Maar ik kies zelf bewust om die Google diensten af te nemen. (Chinese) hardware die ongevraagd vanalles naar huis stuurt kies ik niet bewust voor en wil ik dus niet.
Precies de reden waarom ik geen slimme deurbel wil dat via de *cloud* loopt. Week terug nog een artikel op Hardware.info over slimme deurbellen, maar daar wordt niet ingegaan op de gevaren van cloud diensten. Maar RING is niet de enige, alle op *cloud* gebaseerde camera's zijn van nature gewoon fout. Dan hebben wij het nog niet eens over de slimme speakers thuis.

Trap er niet in en begin er niet aan, maar zo weinig mogelijk gebruik van cloud diensten. Liever geen.
Slimme speakers kunnen ze ook beter "slimme (af)luister apparatuur" of "slimme microfoons" noemen. Maar ja, dat klinkt marketing technisch niet zo handig
;)

[Reactie gewijzigd door TCroezing op 11 januari 2019 18:30]

Daarom een deurbel gekozen van Dahua, alles dicht gezet in pfsense dat die niet naar hun servers kan connecten.
hou het liever binnenshuis en via m'n vpn.
Ik zat meer in m'n achterhoofd met wat als de server stopt or down gaat, geld weggooien.
Interessante producten, bedankt voor je tip!

edit: http://nl.dahuasecurity.c...egory/ip-products-80.html

[Reactie gewijzigd door sokolum01 op 11 januari 2019 11:29]

kan die ook opnemen op je eigen ftp server bijv?
Dat kan Doorbird in ieder geval.
ja maar dan moet je alsnog een cloud abbo hebben. Daar heb ik geen zin in :)
Je kan zonder cloud abo ook alle beelden opslaan op een lokale NAS bevoorbeeld. Dacht dat je zoiets bedoelde.
Beetje laat , maar het kan zo te zien wel en op een SD kaart welke er in kan.

Ik gebruik opnames via Blueiris welke al mijn camera's opneemt.
zie deze youtube video waar ik door de camera menu's heen blader.

https://youtu.be/J7ieTT-9gUs
Smart lijkt in dit soort gevallen eerder een synoniem voor "exploitable" dan "cloud connected".
In principe zou idd elk van deze devices via de leverancier servers moeten werken voor de 'makkelijke' mensen onder ons en altijd ook via een interne api bereikbaar moeten zijn.
Toon (van Eneco) heb ik moeten hacken om dit voor elkaar te krijgen. Mijn foscam had dit al wel ingebouwd (die draait nu via mijn eigen NAS). Signify (Philips) Hue kent zowel een interne als externe API waar je tegenaan kan praten.
Dit is nu dan ook precies de reden dat ik geen 'smart' device wil die een verbinding nodig heeft met een server van de leverancier. Het moet een keuze zijn en geen verplichting om het apparaat te laten werken.
Maar goed, onze TV's hielden ons ook al eens in de gaten. Privacy betekent tegenwoordig: ik weet niet meer wie mijn gegevens heeft en wat ze ermee doen.
Uit dit soort artikelen blijkt gewoon keer op keer dat het niet slim is om apparatuur te kopen die aan het internet hangt.

Eigenlijk is het dat zodra jouw apparaat via een app te beheren is, jouw gegevens waarschijnlijk gebruikt worden om door te verkopen aan derde partijen. Wellicht gebeurd het nu nog niet, maar de kans dat dit in de komende jaren gaat gebeuren is gewoon zeer groot aanwezig.

Met dit soort gegevens/beelden wil je alles in eigen beheer houden, maar dat kost uiteraard geld, tijd en de nodige kennis.
De gemiddelde persoon heeft dit niet en koopt een kant-en-klaar product. Helaas staat daar tegenover dat je zo'n bedrijf op zijn blauwe ogen moet geloven dat ze alles goed geregeld hebben qua beveiliging en niet alles doorverkopen.

Niet lang geleden stond er ook al een filmpje op YouTube van iemand waarvan (dacht ik) zijn nest camera/speaker was gehacked en iemand mee kon kijken. Hij liet dit weten door met hem te praten toen de persoon thuis was.
Zal nog is zoeken of ik het terug kan vinden.

Edit;
Gevonden!
Het was idd een Nest cam;
https://youtu.be/xbk3OdYBLHA

[Reactie gewijzigd door Kraz op 11 januari 2019 10:21]

"Security through obscurity"

Ik ben het niet helemaal met je eens. Ik heb zelf een aantal van dit soort apparaten in mijn huis hangen (Toon, Hue, Domoticz, ip cams) en geen van de apparaten mag naar buiten, alles verloopt via mijn eigen vpn. De telefoons maken automatisch verbinding met de vpn en zo kan ik alles buitenshuis bedienen.

dus het zou moeten zijn;
"Uit dit soort artikelen blijkt gewoon keer op keer dat het niet slim is om apparatuur te kopen die aan het internet hangt zonder gebruik te maken van een VPN"
Hoeveel mensen uit jouw familie ken je die zelf een VPN server opzetten en dit soort configuraties maken?

De gemiddelde persoon kan/wil/doet dit gewoon niet.
ignorance is not an excuse. Dan moet je er idd niet aan beginnen als je niet weet wat je aan het doen bent, klopt maar een vpn opzetten is echt niet heel moeilijk hoor. Je koopt een raspberry pi en volgt de tutorial van 1 a4tje en klaar. Zou eigenlijk standaard in elk huis moeten zitten zodat je op een veilige manier van elke access point gebruik kan maken.

[Reactie gewijzigd door gielie op 11 januari 2019 11:26]

maar een vpn opzetten is echt niet heel moeilijk hoor. Je koopt een raspberry pi en volgt de tutorial van 1 a4tje en klaar
En 95% is hier je "technisch" verhaal kwijt. Die weten al niet wat een raspberry pi is. Gaan zoeken en komen er vervolgens achter dat er een a,b en c versie is. je moet er zelf software op installeren.
Mensen haken echt af en kopen wel een voorgeinstalleerd produkt. Dat de hele wereld mee kan kijken word afgedaan met een "ik heb toch niets te verbergen" argument. Totdat dochterlief van 14 bloot op het internet staat natuurlijk omdat ze in eva costuum even snel het vergeten onderbroekje wil ophalen na douchen.

Ondanks dat ik prima in staat ben om een raspberry aan een camera te koppelen en dat te beveiligen investeer ik dat geld liever in bijvoorbeeld een goed cilinderslot plus dievenklauwen. Die werken tenminste altijd, ook zonder internet. En daarna ligt er nog een bordeauxdog achter de deur. Werkt ook prima als afschrikmiddel. (Dat hij meehelpt inpakken weet de inbreker niet ;p )
Geef ik je gelijk in, maar Dan Ben ik van mening dat Als je niet een beetje kan googlen en instructies volgen dat dat soort type producten niet voor dat soort type mensen zijn. Vanaf jongs af aan leer ik alles over de voertuigen die ik gebruik/of in zit, maar ook over normale huis tuin keuken apparatuur puur omdat niet alles lijkt zoals we denken dat het is.

We leven in een tijdperk dat het wel algemeen bekend is dat silicon valley niks geeft om de klant, maar wel om de data van de de klant. Dan vind ik dat men uit eigen beweging ook zelf actie mogen ondernemen om zichzelf/privacy te beschermen.

Een auto ververst de olie niet vanzelf, banden pompen zichzelf ook niet op. Lukt het jou niet zijn er garage's zo zijn er bijvoorbeeld in rotterdam ook toko's waar je je apparatuur naar toe kan sturen en zei de software/hardware aanpassen. Zo had ook een VPN server ingericht kunne worden op een raspberry pi of een oude tablet/laptop.

Maar ik ben nog jong dus mijn perspectief is ook nog niet zo breed als mensen met meer ervaring.
Geef ik je gelijk in, maar Dan Ben ik van mening dat Als je niet een beetje kan googlen en instructies volgen dat dat soort type producten niet voor dat soort type mensen zijn.
Dan moet dit ook niet verkocht worden bij de lokale electronicaboer, want ik ben ervan overtuigd dat 95% van de Nederlanders met Google en instructies volgen nog steeds geen VPN opgezet krijgt.
Lukt het jou niet zijn er garage's zo zijn er bijvoorbeeld in rotterdam ook toko's waar je je apparatuur naar toe kan sturen en zei de software/hardware aanpassen. Zo had ook een VPN server ingericht kunne worden op een raspberry pi of een oude tablet/laptop.
Alsof je die wel blindelings kunt vertrouwen dat ze de videostream niet langs hun eigen server laten lopen... de mensen die dat daar zouden laten doen hebben er namelijk ook geen idee van hoe ze dat zouden moeten controleren.
Als het kan, zorg dat dit soort slimme apparaten "IOT" *niet* in het zelfde netwerk staat als je NAS of je PC's en Tablets. Plaats een firewall en je bent klaar (een HowTo kan je nog van mij tegoed krijgen).
Firewall hoeft niet eens. Veel modems kennen tegenwoordig een gastennetwerk. Hang die dingen gewoon daar aan. Ze zijn meestal toch alleen via de servers van de leverancier bereikbaar.
Maar een RING slaat beelden op en server op. Die je kunt terug kijken ( meen 15 euro per jaar) dus moet wel het Internet op.....
Voor spraak/beeld-herkenning is toegang tot externe servers een must: huis apparatuur is nooit krachtig genoeg (o.a. te weinig leermogelijkheid).

Volgens mij, en gezien de feiten, zijn "slimme" apparaten (luidsprekers, wekkers, camera's met beeldherkenning, enz.) vooral spyware.
Doorgaans is de externe server vooral voor het "bestuur overal met je telefoon"-gemak.

Zonder externe server is dat lastig voor elkaar te krijgen zodat het bij iedereen, zero-configuration, werkt.
Ik vind het vreemd dat hierover zo gedaan wordt wanneer al je andere zaken reeds in de cloud zitten.
Mail bijvoorbeeld.
Foto's bij veel mensen ook.
Waarom je beveiligingscamera dan niet? Mijn beveiligingscamera staat niet gericht op mijn douche....En ik denk als ik naakt in die zijn beeld zou rondlopen de politie redelijk snel eens zou komen aankloppen.

Verder zijn er grote bedrijven met enorm gevoelige data, ik denk aan de farma, die gebruik maken van cloud opslag. Ik kan mij niet inbeelden dat zij geen duidelijke garanties hebben over data beveiliging. Er is zo enorm veel wetgeving over dat het wel in orde moet zijn dit in de cloud te hebben staan.
Verder zijn er grote bedrijven met enorm gevoelige data, ik denk aan de farma, die gebruik maken van cloud opslag. Ik kan mij niet inbeelden dat zij geen duidelijke garanties hebben over data beveiliging. Er is zo enorm veel wetgeving over dat het wel in orde moet zijn dit in de cloud te hebben staan.
Huh? Nu haal je volgens mij verschillende dingen door elkaar. Grote bedrijven die hun bestanden in de cloud hebben staan, hebben dit of in hun private cloud staan, of in speciaal voor business ontwikkelde (dure) clouddiensten met de daarbij behorende service- en securitylevels. En idd bedrijven in de farma industrie zullen aan bepaalde wetgeving moeten voldoen, inzake bepaalde gegevens. Daarom is het dus ook belangrijk van waar uit deze dienst gehost wordt. Want de wetgeving in de US is anders dan in bijv. Nederland/EU of China.

Consumenten apparaten/diensten vanuit de cloud, die zijn bijna altijd goedkoop per stuk (anders heb je immers geen afzet) en daardoor vaak ook slechter beveiligd.
Private cloud wordt niet meer mee gewerkt in bedrijven.
Zij besteden dit gewoon uit aan de groten zoals Google of Microsoft.

Je spreekt van extra security. Hier ben ik effectief wel benieuwd naar. Want op welke manier val je zo een cloud dienst aan om er op te geraken?
Of is het voor interne toegang die meer restricted zou zijn.
Ik denk btw alleen aan de grote bedrijven. Niet aan kleine bedrijfjes die ook een deel van je data in de cloud hebben staan. Daar kan ik mij wel inbeelden dat er weinig beveiliging is.
Maar zou een Microsoft of Google niet voor consumenten ook goed beveiligd zijn?

Maar het deel van foto's en mail blijven nog steeds geldig voor consumenten ook.


Sidenote:
Voor nieuwe mensen die toch al kunnen stemmen. Er staat een uitleg bij de scores voor wat ze betekenen. Dit is niet Reddit en het systeem werkt hier niet met upvoten.
Gelieve dit te lezen. Met dank.
Dat van die camera was inderdaad van iemand die de standaard wachtwoorden op de IPcam had laten staan en niets dicht had staan. Maar goed, daar moet je wel van uit gaan, een consument die niets weet van beveiliging. Toch hoor je te weten wachtwoorden niet standaard te laten. https://www.destentor.nl/...mera-van-action~a261aa3c/
Van een eindgebruiker verwacht ik dit niet. Dat vereist teveel kennis,

Van de fabrikant verwacht ik dat hij een setup-wizard verplicht maakt die de gebruiker moet doorlopen voordat het product bruikbaar is. De eerste stap in die wizard zou dan het aanmaken van een wachtwoord moeten zijn.
Waarom wordt een IP cam dan ook met een standaard wachtwoord geleverd? En waarom MOET de gebruiker zijn wachtwoord niet gewoon wijzigen bij de eerste keer inloggen?

Routers met een ingebouwd accesspoint krijgen tegenwoordig toch ook per device een eigen wifi wachtwoord. Waarom zou dat met IP cams niet kunnen?

De fabrikant moet gewoon zijn verantwoordelijkheid nemen en een product met een veilige configuratie opleveren.
Die fabrikant zit in China (want Action) en het zal hem worst wezen wat je vindt. Dat spul is goedkoop (want Action) en wordt toch wel verkocht.

Ik vind het wel goed dat ze bekeken werd en schrok, en beter dat het in het nieuws is gekomen. Er is nog niet genoeg bewustzijn bij het merendeel van de bevolking over wat technologie allemaal kan. Men mag zich best realiseren dat de wereld niet zo simpel in elkaar zit als de meesten denken.
Realisatie en desillusie. Worden we als gemeenschap beter van.
Na dit artikel moet er inderdaad langzaam een belletje gaan ringrinkelen.
Er is niets mis met apparatuur die verbonden is met het internet zolang je weet waar je mee bezig bent en zolang je zelf de controle hebt over wat er met je data gebeurd. Ik vind het dan ook spijtig dat mensen steeds weer wijzen naar het feit dat ze verbonden zijn met het internet ipv dat ze verbonden zijn met een dienst waar je geen zeggenschap over hebt.

Je kan perfect een app hebben die rechtstreeks verbinding kan leggen met het apparaat zonder langs een server te passeren en de dag van vandaag hoeft dat echt zo complex niet meer te zijn. Maar ja, je moet er wel een beetje tijd in willen steken. En spijtig genoeg kiezen mensen voor het gemak.
Ik denk dat je hier een vergissing begaat. Het is niet voor niets dat b.v. Purism fysieke schakelaars voor camera en microfoon inbouwt (+ uitschakeling van Intel ME). Vergeet niet dat instanties als NSA een heel groot budget hebben om specifiek (!) jouw apparaat af te luisteren ...
Nee!

Het blijkt dat er risico's aan dat soort apparaten zitten. Kan je met die risico's leven dan is het prima als je die apparaten wilt kopen. En koop je zo'n apparaat en verdiep je er niet in wat de risico's zijn, tja, dan is het voor een groot deel je eigen schuld.
Ergens moet ik nu wel lachen. Security Now heeft Ring heel lang als sponsor van de show gehad en Leo Laporte zei ook zelf hoe gemakkelijk het was en dat het artikel snel werd geupdate als er problemen waren gevonden. De ironie dat een podcast over beveiliging een sponsor heeft gehad waarbij uiteindelijk privacy en beveiliging toch niet zo geweldig blijken te zijn ontgaat mij niet.

Natuurlijk is het zo dat gebruikers wss niet hebben geweten hoe de command en control functies van de makers in elkaar zitten. Maar onversleuteld video opslaan en via enkel het e-mail adres toegang kunnen krijgen is natuurlijk erg onveilig. Ik vraag mij af of ze dit in de podcast ook gaan behandelen. :P

Dit zegt overigens niet dat de podcast slecht is, ik blijf gewoon luisteren. Het bewijs alleen dat online benaderbare apparaten en diensten soms bizar slecht beveiligd zijn en we dus altijd sceptisch moeten zijn.

[Reactie gewijzigd door Auredium op 11 januari 2019 09:16]

Ik zie hier niet perse een bedrijf dat zijn beveiliging niet op orde heeft. Alleen wel slordig is in hoe men de ontwikkel afdeling(en) toegang geeft tot de live data.

Er is altijd iemand die toegang heeft tot data op servers, en er is altijd een vorm van beschikbaarheid van de data (meestal geanonimiseerd en geminimaliseerd) door de ontwikkelafdelingen.

[Reactie gewijzigd door Xorgye op 11 januari 2019 09:29]

Dit is wel iets meer dan slordig, en dat er "altijd" iemand is die toegang heeft tot data op servers is gewoon niet waar. Als je de data fatsoenlijk encrypt kunnen ontwikkelaars misschien nog wel bij de bits, maar for all intents and purposes niet bij de data zelf. Dat had hier ook moeten gebeuren. De videostream had versleuteld moeten worden zodat alleen de eindgebruiker met zijn zelfgekozen sleutel die data had kunnen ontsleutelen.
Helemaal waar. Maar het is niet dat we moeten doen alsof ze alleen zijn.
Zelf ben ik niet actief in IT maar meerdere van mijn vrienden wel.
Banken, internet leveranciers en ziekenhuizen zijn maar een paar grote voorbeelden van plaatsen waar zij volledige toegang hadden tot alle informatie. Eenmaal je op het interne netwerk bent is er vaak minimale beveiliging of zelfs geen.
Het loggen van wie welke data bekijkt is meestal het maximale aanwezig en gemakkelijk te omzeilen.
Deze beelden werden inzichtelijk gemaakt voor hun eigen developers om de beeldherkenningstechnologie te kunnen verbeteren. Zo werd er dus op grote schaal objecten getagd door mensen zodat het systeem op den duur kan herkennen wat een gezicht is, een voorbijrijdende auto, een hond etc. Dat kan niet als het encrypted is.

De slordigheid die makkelijk voorkomen had kunnen worden is het gebruik van het emailadres van de klant. Nu konden de medewerkers van Ring zoeken op een emailadres dat ze kennen, zien of die persoon toevallig een Ring klant was en dan hun beelden bekijken.

Het was betrekkelijk simpel geweest om die ontwikkelaars toegang te geven tot een kopie van de beelden opslag waar alle beelden geanonimiseerd waren.
"Ik zie hier niet perse een bedrijf dat zijn beveiliging niet op orde heeft"

Ik wel. AWS adviseerd om ALLE data, zowel in opslag als in transit altijd encrypted op te slaan. Een basisprincipe en best practise. Zelfs wanneer de data niet eens privacy gevoelig is.
Ergens moet ik nu wel lachen. Security Now heeft Ring heel lang als sponsor van de show gehad en Leo Laporte zei ook zelf hoe gemakkelijk het was en dat het artikel snel werd geupdate als er problemen waren gevonden. De ironie dat een podcast over beveiliging een sponsor heeft gehad waarbij uiteindelijk privacy en beveiliging toch niet zo geweldig blijken te zijn ontgaat mij niet.
Ik ben het lachen eigenlijk voorbij. Ik vind het helaas heel normaal dat zelfs IT-bedrijven hun eigen IT niet op orde hebben. Zelfs de grootsten, Microsoft, Apple, Google, Facebook, Cisco, hebben aan de lopende band te maken met dit soort incidenten. IT is moeilijk en duur en veiligheid maakt het nog veel erger. Ook in mijn eigen werk kan ik tal van zwakke plekken aanwijzen waar ik de tijd of de moeite niet kon rechtvaardigen om het beter te doen, en dat is waar ik me van bewust ben. Er zijn vast nog hele probleemgebieden waar ik niet eens van weet dat ze bestaan.
De voordelen van IT zijn echter zo groot dat ze niet te negeren zijn. Zodra een concurrent gaat automatiseren zal de rest mee moeten zelfs als de kwaliteit onderuit gaat, het kostenvoordeel is zo groot dat het niet te negeren valt en opweegt tegen alle leken en negatieve publiciteit. Wat dat betreft is het een race naar de bodem, je kan niet wachten op kwaliteit, dan raak je de markt kwijt, en dat geldt zowel voor afnemers en leveranciers.

Daarom ben ik zo blij met wetten als de AVG die een ondergrens trekt waar niemand onder mag komen.
Wettelijke eisen zorgen dat goedwillende bedrijven hoeven nu niet meer te concurreren met bedrijven die goedkope maar ondermaatse rotzooi leveren, want klanten kunnen software over het algemeen niet op veiligheid beoordelen. Net zo min als je van een gewone consument kan verwachten dat hij de veiligheid van z'n nieuwe auto beoordeelt.

Tot die wetten op een zinnig niveau zijn blijf ik echter heel voorzichtig en terughoudend met alle "smart" en "iot" toepassingen en houdt er rekening mee dat ze niet veilig zijn.

[Reactie gewijzigd door CAPSLOCK2000 op 11 januari 2019 10:45]

Fabrikanten van dit soort apparatuur zouden verplicht moeten mee werken aan hack events waarbij er gepoogd wordt hun systemen te kraken..


In den beginnen had je dit ook met wifi printers, kon je verbinden met het wifi netwerk van de printer en voila daar kwamen jouw printjes eruit. Nu is dat vooral ongemak.

Met zaken als video deurbellen, speakers, tv's en persoonlijke assistenten kan je letter meekijken in iemand anders zijn leven.
In den beginnen kon dat inderdaad erg gemakkelijk, maar in principe kan je nog steeds gemakkelijk wifi printers benaderen.

Zo had een paar maandjes terug een fan van Pewdiepie, de bekendste Youtuber voor degene die niet op de hoogte zijn, flink wat Wifi printers gehacked om paginas te printen die vertelden te subscriben tot Pewdiepie. De hacker had maar 50,000 printers 'aangevallen' terwijl hij zo'n 800,000 onbeschermde printers vond.

Zelf zegt hij hierrover: “The most horrifying part is that I never considered hacking printers before, the whole learning, downloading and scripting process took no more than 30 minutes.”

https://www.theverge.com/...ter-hack-t-series-youtube

Edit: Zelf vond ik het erg opvallend dat er veel workplace printers ook gehacked waren. Had eerder verwacht dat dit particuliere printers zouden zijn.

Ook moet ik er ineens aan denken dat een vriend van mij ooit eens aan kwam met een site waarop met wifi verbonden beveiligingscameras zaten (site vergeten). Hier zaten immens veel compleet onbeveiligde systemen tussen, en heel veel waarmee je kon inloggen met admin/admin. Zo kan je letterlijk meekijken in kinderkamers, woonkamers etc.. Afhangend van het camerasysteem kon je ook zelf alarmen af laten gaan, de camera bewegen etc. Heel bizar.

[Reactie gewijzigd door Tikkels op 12 januari 2019 19:29]

Je hebt het waarschijnlijk over http://www.insecam.org/ Het meekijken van beelden op camera's met default passwords, is wel nog heel wat anders dan medewerkers van een bedrijf die toegang hebben tot klantendata.
Zo heel veel anders vind ik dat niet. Beelden maak ik voor mezelf, niet voor de wereld maar zeker ook niet voor de medewerkers van het bedrijf waarvan ik alles gekocht heb.
Tjah, een iot camera aan het internet hangen..... Daar kan je dan op wachten
Wordt je down gemod maar je hebt wel een punt. Allerlei apparaten die ons leven makkelijker moeten maken worden alsmaar aan het internet gehangen, deurbellen, gateways voor lichten, camera's, controllers voor CV en gordijnen, je kan het zo gek niet opnoemen.

Ikzelf koop sowieso geen IOT devices waarbij er geen lokale LAN oplossing ingebakken zit, verder gaat alles in een apart VLAN die geen toegang heeft tot het internet. Stukje bewustwording bij de consument is duidelijk nog nodig, want die denken alleen "Makkelijk dat ik het overal via mijn mobieltje kan raadplegen" maar hebben geen flauw benul van de risico's.
Of wel benul ervan, maar vinden de risico's aanvaardbaar :) Overal zitten risico's aan, je kan ervoor kiezen om alle risico's uit te willen sluiten, maar je kan voor jezelf ook bedenken hoe erg het werkelijk is wanneer het optreedt en gewoon verdergaan met je leven. :)

Goh, het is makkelijk wanneer mijn verwarming vanzelf aangaat als ik binnen een straal van x km van huis kom en uitgaat wanneer ik mijn huis verlaat en tevens mijn lampen aangaan.

Goh, iemand zou dan mee kunnen kijken en zien wanneer ik thuis ben.

Ach boeiend... * zoekt een Nest thermostaat en Hue lampje uit *
Ik ken een bepaalde 'beroeps'groep die het toch machtig interessant zouden vinden om te zien wanneer mensen wel of niet thuis zijn, en wat hun gewoontes zijn.
En als deze informatie al beschikbaar is voor bepaalde mensen, dan zijn zowel die mensen als het systeem gevoelig voor aanvallen(Hacken, Social Engineering, omkopen, bedreigen, etc) om de betreffende data te bemachtigen.

Dus het gaat niet om 'niets te verbergen' het is een afbreuk aan de daadwerkelijke veiligheid van jouw huis
Ik zeg nergens "niets te verbergen" :)

En ja, inbrekers zullen dat heel interessant vinden maar ik acht de kans dat een inbreker slim genoeg is om zo'n systeem te hacken verwaarloosbaar en ik acht mijzelf niet interessant genoeg voor om een inbreker dingen zoals social engineering, omkoping of bedreiging in te gaan zetten om aan die info te komen.

Bij risico's kijk je naar de kans van optreden en de impact van het gevolg en ik acht de kans van optreden zeer klein.

Zoals ik al zei, overal zijn risico's aan verbonden. Er bestaat een kans dat mijn aanwezigheid hier op Tweakers als een bedreiging gezien word door persoon x die daardoor het idee kan krijgen om een aanslag op mij te plegen, zal ik dan maar mijn account opzeggen?

Hoever wil je gaan in je; het zou kunnen dat...?
En ja, inbrekers zullen dat heel interessant vinden maar ik acht de kans dat een inbreker slim genoeg is om zo'n systeem te hacken verwaarloosbaar en ik acht mijzelf niet interessant genoeg voor om een inbreker dingen zoals social engineering, omkoping of bedreiging in te gaan zetten om aan die info te komen.

Bij risico's kijk je naar de kans van optreden en de impact van het gevolg en ik acht de kans van optreden zeer klein.

Zoals ik al zei, overal zijn risico's aan verbonden. Er bestaat een kans dat mijn aanwezigheid hier op Tweakers als een bedreiging gezien word door persoon x die daardoor het idee kan krijgen om een aanslag op mij te plegen, zal ik dan maar mijn account opzeggen?
...
Ik zie dat je projectleider bent en Mark heet. Nu kan ik eerst eens kijken op bijvoorbeeld Linked in wat je klanten zijn. Met die informatie kan ik bepalen of jij werkt voor een bepaalde klant waar ik naar binnen wil. Er is een kans dat je een laptop hebt met login gegevens, of dat je, afhankelijk van de waarde van de gegevens chantabel gemaakt moet worden of zelfs onder druk gegevens moet afgeven.

Kortom, het gaat er totaal niet om of jij interessant bent. Jij bent gewoon nevenschade voor mensen die kwaad willen alleen maar doordat je voor een bepaalde klant of werkgever werkt. De informatie en kennis die je bezit, daar gaat het om. Bovendien hoe leg je het uit wanneer een hacker bij een klant/bedrijf heeft kunnen inbreken door een documentje met password op je NAS wat je even vergeten bent.
Ik lees je verhaal en ik doe een inschatting hoe groot de kans is dat jij er werkelijk wat mee op gaat schieten en op basis daarvan zeg ik; go for it! Leef je uit :) De kans dat jij aan de hans van de info in mijn T.net profiel op mijn LinkedIn profiel uit gaat komen is al beperkt en de kans dat jij met de info op dat profiel (die best uitgebreid is) schade kan uitrichten is nog kleiner. En dan heb ik het niet alleen over schade voor mij.

Daarnaast. Dit artikel gaat om het gebruik van smart devices of cloud connected devices of hoe je ze ook wilt noemen en vervolgens zie ik allemaal mensen reageren met samengeknepen billetjes die doom scenario's met ons delen. Ik durf met een grote zekerheid te zeggen dat 99% van die dingen nooit waarheid zal worden. Simpelweg omdat het vaak teveel moeite is of omdat de kosten niet opwegen tegen de baten.
Het gaat er niet om wat ik kan, want heb er geen tijd voor, maar mensen zijn namelijk heel erg inventief. Het gaat ook om een "hypotetische" case. In de praktijk gaat het namelijk zo anders om.

Men heeft een instelling/bedrijf in het vizier, daarna bepalen ze wat nodig is, bijvoorbeeld een toegangspas, of wachtwoorden. Daarna kijken ze op internet of proberen ze te achterhalen welke projecten er zijn, of dat weten ze al. Bruner foon telefoontje naar bedrijf met de vraag of ze naar de Projectleider mogen spreken, receptie zegt "ik verbind u even door met M... vd S...." en ze hebben een naam. Openen Google, zoeken op combinatie "bedrijf en naam" en komen achter meer informatie, misschien ook nog een foto. Wat meer soical engineering en ze weten je huis adres...... The sky is de limit.
Ik weet wat er mogelijk is, ik weet hoe social engineering werkt. Nogmaals.. ik schat risico in en kijk wat de impact is en dan maak ik een keuze. Ik laat mijn leven niet bepalen door de angst wat er zou kunnen gebeuren want ik weet dat ik dat toch niet in de hand heb. Ik kan hooguit de risico's beperken en dan geeft het mij nog geen garanties.

Dat het kan gebeuren wil niet zeggen dat het ook gaat gebeuren :) En sterker nog zelfs... Als het gebeurd is wil het niet altijd zeggen dat het met kwade bedoelingen is geweest.

Heeft niks met naïviteit te maken of met denken dat ik niks te verbergen heb. Dat is gewoon common sense en mij niet gek laten maken door wat er eventueel zou kunnen gebeuren.
Niemand stapt in de auto met het idee dat ze die dag bij een ongeluk betrokken raken. Toch zijn er dagelijks vele aanrijdingen. Daarom doe je een gordel om en koop je een auto met airbags. Bovendien gedraag je je waarschijnlijk risicomijdend door bijvoorbeeld voldoende afstand te houden.

Je kunt dus wel beredeneren dat het risico voor het publiek heel erg klein is en dus individueel wij ons geen zorgen hoeven te maken, maar die hacks vinden wel degelijk plaats. Het worden er, zeker met deze instelling, alleen maar meer.
Ik zeg nergens "niets te verbergen" :)

En ja, inbrekers zullen dat heel interessant vinden maar ik acht de kans dat een inbreker slim genoeg is om zo'n systeem te hacken verwaarloosbaar en ik acht mijzelf niet interessant genoeg voor om een inbreker dingen zoals social engineering, omkoping of bedreiging in te gaan zetten om aan die info te komen.

Bij risico's kijk je naar de kans van optreden en de impact van het gevolg en ik acht de kans van optreden zeer klein.
...
Ben je serieus?


https://www.anwb.nl/auto/...ak-via-hacken-autosleutel
nieuws: Keuringsinstantie keurt vanaf volgend jaar auto met onveilige slimme ...

Deze techniek is al langer dan 3 jaar geleden bekend,
maar toen pas kreeg het landelijke bekendheid,
en dit jaar wordt het eigenlijk/eindelijk aangepakt.


En de geruchten gingen al heel lang rond, maar het werd niet gestaafd tot 2 jaar geleden ongeveer serieuze onderzoeken werden gedaan,
https://www.bbc.com/news/technology-37057689
https://www.usenix.org/sy...16/sec16_paper_garcia.pdf

En dat is dan 1 automerk dat ook in andere modellen wordt gebruikt, maar er zijn nog een andere systemen die een soortgelijk probleem kennen.


Je hebt maar een persoon nodig die er een economisch model van gaat maken, elke ezel kan er vervolgens gebruik van maken.
Die kennis en kunde wordt door steeds meer criminelen ingezien en ook als zodanig gewaardeerd.
Ja, ik ben heel serieus... Dat iets mogelijk is met systeem x wil dat niet zeggen dat hetzelfde mogelijk is met systeem y :)

Een auto stelen waarmee aanzienlijk wat geld verdient kan worden bij verkoop kan ik niet vergelijken met het hacken van mijn deurbel waarmee ze de inhoud van mijn zoon z'n spaarpot wellicht buit kunnen maken.

Ik woon niet in een miljoenenvilla, ik heb geen dure kunst aan de muur, ik heb geen kluis, ik heb geen dure sieraden, ik heb geen cash in huis. (nou ja, misschien dan het tientje in die spaarpot) Dat valt allemaal gewoon onder het stukje, kans en impact. De moeite die het kost om aan de data te komen van die deurbel weegt niet op met wat ze kunnen verdienen aan de inbraak in mijn huis. Wat de kans dat het optreed een heel stuk verkleint.
Mijn Hue lampen gaan ook aan op willekeurige tijden als ik er niet ben.
Dus het betekent niet dat ik thuis ben.
Mijn thermostaat met afwezigheid sensor heeft mij aardig wat geld bespaart aangezien ik een vrouw heb die het altijd koud heeft en de thermostaat op 22 zet en zo de deur uit gaat in haar haast.
Klok thermostaat heb je niks aan met wisselvallige werk tijden.
Een deur bel met camera heb ik niet en heb daar ook geen behoefte aan.
Maar het zal me een zorg zijn wie kan zien wie aan mijn deur staat.
Dat zien ze ook als ze buiten in de auto staan te kijken.
En ook dit is een stukje bewust wording.
Je hebt en neemt zelf de keus welke zogenaamde Smart devices je wilt gaan gebruiken.
Precies, dat bedoel ik...

De risico's zijn net zoals de impact (zeer) beperkt terwijl de toegevoegde waarde van die devices best aanzienlijk kan zijn.
Dat vereist wel dat fabrikanten die apparaten maken. Veel apparaten werken juist niet via LAN omdat het verdienmodel (abonnement, vendor lock-in, etc.) hem deels zit in de cloud-diensten.

Ik vroeg vorig jaar op het forum naar een domme thermostaat maar mét een API: Domme thermostaat met API. Helaas weinig response. Er is (momenteel) te weinig vraag naar IOT devices zonder cloud-dienst. Onder Tweakers wel, maar het grote publiek wil toch 'de thermostaat via een app besturen', niet een 'thermostaat met goed gedocumenteerde API'.
Helemaal mee eens, gemakzucht heet dat. Terwijl het voor fabrikanten een kleine moeite is om de app lokaal te laten werken, maar daar is minder mee te verdienen dan een verplicht abbotje om "overal" er bij te kunnen.

Wat betreft de thermostaat, ik heb een simpele Honywell round met daartussen de OTGW (zoals ook in het topic aangeraden), werkt perfect en geen internet nodig :) win-win
[...] maar het grote publiek wil toch 'de thermostaat via een app besturen', niet een 'thermostaat met goed gedocumenteerde API'.
Met een goede API en een goede app die van die API gebruik maakt, kun je elk produkt gewoon lokaal via je eigen wifi benaderen. En op die manier moet elk produkt ook direkt (dus niet via de server van de leverancier) via internet te benaderen kunnen zijn. Beide zaken (API en app) kan de leverancier leveren (alleen voor IPv4 is er misschien een workaround nodig, maar die dienst kan de ISP ook prima (zo niet beter) leveren - en dan is er ook eindelijk een goede business case voor IPv6!). Dus aan de wensen van het publiek kan prima voldaan worden zonder cloud server. Dus als redenen voor internet-connectiviteit blijft alleen over de belangen van de leverancier.
Helemaal gelijk in. En op tweakers moet er ook nog een stukje bewustwording komen.
Bij veel mensen is die er echt wel en er staan geweldige stappenplannen op Tweakers om je beelden en servers goed te beveiligen, maar het publiek van Tweakers is de laatste jaren ook wel wat anders geworden. Het zijn bij lange niet meer alleen nerds of computerfreaks.

Teveel mensen gaan voor te simpele oplossingen en verkeren in de veronderstelling dat alles wat zo duur is (als Ring) en een gelikte app heeft, ook meten voldoende beveiliging geeft.
"Makkelijk dat ik het overal via mijn mobieltje kan raadplegen" maar hebben geen flauw benul van de risico's.
Los van het benul, veel mensen boeit het niet. Veel zeggen, ik heb toch niets te verbergen of in dit geval Het maakt toch niet uit dat ze kunnen zien wie voor mijn deur staat.
Veel mensen zeggen inderdaad: Ik heb niets te verbergen. Wat ze eigenlijk zouden moeten zeggen: Ik heb niets dat interessant genoeg is om te laten zien.
Maar serieus: Een fabrikant van electronica die NIET zijn produkten blijft monitoren is ook ongeloofwaardig.
Al was het maar voor een update... ;)
De bronnen zouden geen voorbeelden kennen van ernstig misbruik van de bevoegdheid.
Nee, want ongeoorloofd binnen kijken in iemands leven is dat natuurlijk niet 8)7
Het gaat erover dat het kan, wat ze willen zeggen is dat er geen voorbeelden zijn (of bewijs is van) dat het ook werkelijk gebeurd is. Is natuurlijk wel een flink verschil. Je kan meteen gaan roepen dat het, omdat het kan, daarom ook gebeurd zal zijn maar dat is vaak onterecht.

De software bij banken en instanties zoals BKR moet ook worden getest, er is een mogelijkheid dat ze daar gewoon niet geanonimiseerde productiedata voor gebruiken, maar dat wil niet zeggen dat dat ook echt gedaan wordt. Maar het zou dus kunnen inhouden dat een tester jouw bankgegevens langs ziet komen bij het testen.

Er is een belangrijk verschil tussen kunnen en werkelijk doen.
Precies, daarom ook dat de tekst "maar noemen wel dat de medewerkers zo camera's van bijvoorbeeld journalisten of concurrenten konden zien" ook vrij nietszeggend is.

In theorie kan ik overal een deur inslaan om binnen te kijken (ook bij journalisten of concurrenten), maar of het gebeurt is een heel andere vraag.
Technisch gezien kijk je met een deurbel vaak buiten iemands leven..
Totdat iemand denkt dit is handig voor bij oma in de keuken die een klein beetje vergeetachtig word, kan ze me bellen met 1 druk op de knop en dan zie ik gelijk wat het probleem is.
Klinkt een beetje als: Bankmedewerkers kunnen bankgegevens inzien van klanten! Ik zag het artikel al langskomen op nu.nl, had gehoopt dat Tweakers minder sensatie zou opzoeken... Dit is geschreven als software developer en om support te geven moet ik ook van tijd tot tijd een database induiken met alle klantgegevens, gaat Tweakers hier nu ook een artikel aan wijden hoe ik in al mijn projecten bij klantgegevens kan omdat het onderdeel van mijn baan is? 8)7
Dan ben je als developer niet goed bezig. In één bedrijf waar ik heb gewerkt worden ook persoongevens gebruikt en verwerkt in één app, echter hadden wij daar geen toegang toe en is er enkel fictieve data om te testen, iets dat prima gaat als je er maar rekening mee houdt bij de bouw van je applicatie.

Toegang tot data zou je dus niet nodig moeten hebben, indien wel, dan vraag je voor toestemming bij de klant die vervolgens hiervoor zijn akkoord geeft; hetzij via debug/diagnose mode aanzetten, iets laten ondertekenen (hoe en wat) of desnoods door een monteur te sturen waarbij iets wordt ondertekend (in het artikel voorbeeld).

Dit kan Ring dus ook prima doen, sterker nog, met de huidige privacy regels mag het niet meer zomaar op die manier .. en dat is maar goed ook! Waarom zou een medewerker (en developer) zonder barrière probleemloos moeten meeluisteren of alles moeten inzien? :S

[Reactie gewijzigd door foxgamer2019 op 11 januari 2019 11:23]

Dat er mooie privacy regels zijn wil niet zeggen dat ze ook werkelijk goed zijn geïmplementeerd he. Zeker bij bedrijven die hun ontwikkeling in het buitenland laten doen en/of vallen onder een andere wetgeving is het maar de vraag hoe ze met je data omgaan.

De overheidsdiensten hebben simpelweg geen mankracht om het naleven van deze regels te forceren.

Dus... ik zeg niet dat het zeker is dat het mis gaat, ik zeg alleen dat deze privacy regels 0,0 zekerheid bieden.
De vraag is eigenlijk vooral hoeveel authorizatie- en audit-maatregelen er waren. Daar zegt het artikel maar bitter weinig over, al hebben ze het dus wel over een lab in Ukraïne dat ongelimiteerde toegang had.
Ik zou denken/hopen, dat als jij toegang nodig hebt tot live bankgegevens, er ook effectief ge-audit wordt waar en wanneer jij die toegang had.
Ik werk niet bij een bank :) en aan de betalingsapp waar ik aan werkte hingen strenge voorwaarden voordat je gegevens mocht inzien, en ik mocht er bijvoorbeeld niet bij omdat ik in het verkeerde land werk. Maar uiteindelijk zijn het toch developers die een systeem in de gaten moeten houden (en zich aan voorwaarden moeten houden en NDAs moeten ondertekenen). Zelfs een helpdesk medewerker kan vaak al bij alle klantgegevens van welk product dan ook, het is inderdaad veel interessanter net als jij zegt: hoe hebben die lui zich ingedekt en hoe beschermen ze zich tegen ongeauthoriseerde toegang. Dat ontwikkelwerk wordt geoutsourced zegt natuurlijk niets over de integriteit van de mensen, het is discriminerend om te suggereren dat er misbruik is gemaakt puur omdat die devs in Oekraine zitten (en ik vind dat dat laatste nogal gesuggereerd wordt door dit artikel)

Dus al met al, kulverhaal dit artikel.
Bij welke bank werk je? Want dan kan tweakers er in duiken en een mooi verhaal schrijven.

Maar precies wat jij zegt, ik ben ook developer en heb ook overal toegang tot prive gegevens als dat moet. En je ontkomt er ook niet aan. Wil niet meteen zeggen dat er kwade bedoelingen zijn.

[Reactie gewijzigd door Sharkoon op 11 januari 2019 10:27]

Ik werk niet bij een bank :) wel gewerkt aan een betalingsapp en daar moet bij gezegd worden dat alleen bepaalde mensen in een bepaalde locatie toegang hadden tot klantgegevens maar punt is dat bedrijven nu eenmaal bij klantgegevens kunnen en dat dit bericht nul nieuwswaarde heeft.

Edit (als antwoord op jou edit :) ): het artikel zegt zelfs dat er geen geval van misbruik bekent is, het zou totaal anders zijn als videos gelekt worden door developers, maar nu is het gewoon onderdeel van hun werkzaamheden.

[Reactie gewijzigd door josttie op 11 januari 2019 11:11]

Kan je wat nulletjes achter mijn saldo zetten ?
De bank was maar een voorbeeld, staat los van het feit dat ik progammeer dus ik kan je helaas niet helpen :)
Zou het mogelijk zijn om deze soort camera's van op afstand te bekijken zonder ze rechtstreeks op het iot aan te sluiten? Het lijkt me onvermijdelijk dat ze eraan komen/zijn, is het mogelijk om dat te doen zonder de grote privacy risico's?
Afsluiten in een local network en dan VPN maken naar dat local network.
Er is niet zoiets als 'het iot'. IoT is een verzamelnaam voor het concept van netwerkdevices waarvan men in de praktijk kiest ze aan internet te hangen en de data naar een centrale server door te sturen. Vergelijk het met je prive-netwerkprinter; daarbij is de standaard keuze om dat niet te doen.
De bronnen zouden geen voorbeelden kennen van ernstig misbruik van de bevoegdheid, maar noemen wel dat de medewerkers zo camera's van bijvoorbeeld journalisten of concurrenten konden zien.
Geen ernstig misbruik, gelukkig. Alleen maar journalisten en concurrenten. :+
Tijdens interview:
Interviewer: "Dus jullie konden beelden van alle klanten bekijken?"
Medewerker: "Ja"
I: "Dus ook van journalisten, of concurrenten?"
M: "Alle beelden, dus ook die"

Kop: "RING KON CAMERABEELDEN VAN JOURNALISTEN EN CONCURRENTEN BEKIJKEN!!1"
Hoewel sensatie klopt dat wel. En daar zit ook precies de pijn; op zich is het geen hele grote ramp als een wildvreemde die je verder niet kent random naar je beelden kijkt. Of een random verpleegster zonder goede reden in je EPD lijkt. Maar als die verpleegster net je ex is die in een voogdijzaak met je verwikkeld is dan is het een ander verhaal. Idem met die deurbel en die kop: als er bij een journalist of gericht bij een concurrent gekeken zou worden is de mogelijke schade voor de betrokkene veel groter.
Ja nou niet helemaal. In een EPD zit een break the glass melding. Er komt een melding in beeld met: "Dit is niet uw patient, druk op doorgaan om door te gaan" op dat moment gaat er meteen een melding naar ICT en krijg je aan het eind van de maand te horen dat dit niet de bedoeling is met eventuele sancties. Mocht de informatie uit het EPD dan bewijs zijn geweest in een zaak om voogdij, dan is dit pech met de kabouters maar dan wordt het een strafzaak tegen de ex die in je dossier kijkt.
In het EPD/ECD waar jij mee werkt misschien wel, die waar ik mee in aanraking kom hebben die meldingen niet. Vind het ook wel raar klinken, als het systeem al weet dat het je patiënt niet is, waarom dan uberhaubt toegang gegeven, verberg de patiënt of blokkeer de toegang zou ik dan zeggen.
Dat is voor spoedeisende hulp. Als iemand dood ligt te gaan op de EHBO kan je niet wachten tot de juiste arts aanwezig is maar moet dat dossier direct beschikbaar zijn.
Het is toch een wonder dat uberhaupt iemand op de EHBO het overleefde voor het EPD. Mocht mij ooit iets overkomen dan zitten de mensen daar toch met hun handen in het haar van de paniek dat ik geen EPD heb (althans zonder zinninge gegevens aangezien ik nooit in aanraking ben gekomen met de ziektezorg anders dan de standaard inentingen en het knippen van amandelen meer dan 40 jaar geleden). En dat geld voor iedereen in het buitenland.

BTW personen die weten dat ze bv allergies zijn voor bepaalde dingen hebben al decennia lang een internationale manier om dat duidelijk te maken voor in het geval de ze niet bij bewust zijn zijn.
Het is toch een wonder dat uberhaupt iemand op de EHBO het overleefde voor het EPD. Mo
Net zoals het een wonder is dat we overleefde zonder stromend water en riolering. Ook dat is heel lang goed gegaan, maar we zijn met z'n allen echt een stuk gezonder en gelukkiger met.

Als jij geen medisch dossier hebt dan heb je ook niks te verliezen, toch?
Dit soort toegang is er voor mensen die het wel nodig hebben.

Ik ben voor sterke privacy, daarin ben ik best wel extreem, maar niet altijd en ten koste van alles. Ik heb geen probleem met dit soort toegang voor noodgevallen als ik achteraf maar kan zien wie er toegang heeft gehad en misbruik wordt gestraft. Als de brandweer moet komen mogen ze van mij ook de deur intrappen als dat nodig is om mij te reden.
Er zijn regelmatig patiënten die nog niet jouw patiënten zijn maar dat wel worden omdat ze van afdeling naar afdeling worden verplaatst. Zo kan jij jezelf dus inlezen voor de opname op jouw afdeling, en daarom kan je dus doorgaan. In ons ziekenhuis werken we met epic hyperspace.
Ja nou niet helemaal. In een EPD zit een break the glass melding. Er komt een melding in beeld met: "Dit is niet uw patient, druk op doorgaan om door te gaan" op dat moment gaat er meteen een melding naar ICT en krijg je aan het eind van de maand te horen dat dit niet de bedoeling is met eventuele sancties. Mocht de informatie uit het EPD dan bewijs zijn geweest in een zaak om voogdij, dan is dit pech met de kabouters maar dan wordt het een strafzaak tegen de ex die in je dossier kijkt.
er gaat echt wel niet direct een melding naar ICT, toch bij ons niet :-) We hebben wel beters te doen... maar logging is er dus wel.
Precies hoe je het inricht. Het is wel mogelijk, het wordt zeker bijgehouden dat klopt ook.
Maar dan is de schade al gedaan....
Er is niet bepaald schade in het voorbeeld van bovenstaand...de medische toestand mag niet als bewijs worden gebruikt.
Ik snap je, maar men kan er in zo een situatie wel andere voordelen uit behalen.

Maar het mag duidelijk zijn, privacy bestaa niet meer.
Dat klopt helemaal. privacy is niet meer.
Titelfix: 'En ook van alle presidenten!'

Eigenlijk gewoon van iedereen die zo'n ding heeft hangen.
waarom zou een concurrent van ring een ring deurbel aan de deur hangen? dat vond ik ook al zo'n mooie in dit artikel.
Snap niet dat die deurbel gewoon beeld opneemt op een eigen HD/SD/NAS.

Als je het aan het internet hangt is het niet de vraag of je beelden stiekum bekeken worden maar wanneer dat gebeurt.
Snap niet dat die deurbel gewoon beeld opneemt op een eigen HD/SD/NAS.
Hoeveel verkoop je er dan? 1% van wat ze nu verkopen?
Hoezo zou je dan minder verkopen?
Alleen omdat je deurbel via een server loopt die je zelf niet onder controlle hebt.

Ze kunnen ook een soort raspberry pi gebruiken die als server fungeert, die als er dan aangebeld word direct contact maakt met jou telefoon.
De overgrote massa wil gewoon plug & play.
Natuurlijk kan je voor hard/software en opslag in eigen beheer kiezen, maar dat kost al wat meer moeite en kennis.
De overgrote massa wil gewoon plug & play.
Dat kan nog steeds als de NAS fabrikanten zich gaan bemoeien met IOT, maar dat zie ik niet gebeuren.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True