Wink-hub gaf vorige gebruiker Nest-camera toegang tot beelden nieuwe eigenaar

De integratie van Nest-camera's met de hub van Wink gaf een vorige eigenaar toegang tot beelden van een Nest-camera van een nieuwe eigenaar, ook als de vorige eigenaar de camera uit zijn of haar account had verwijderd. Google heeft een fix uitgebracht voor het beveiligingsprobleem.

Nest Cam Indoor IQ Beveiligingscamera — Nest Cam Indoor

De vorige eigenaar kon de beelden alleen bekijken als stills via de dienst van de Wink-hub, meldt The Wirecutter. Dat is mogelijk, omdat de Wink-hub rechtstreeks gekoppeld zit aan een Nest-camera en die koppeling alleen verdwijnt als de gebruiker de camera in de instellingen van Wink verwijdert.

Het beveiligingsprobleem kwam naar voren in de Wink-gebruikersgroep op Facebook. De enige oplossing was dat gebruikers van Wink de koppeling met de camera verbraken in de software van Wink. Google heeft inmiddels een fix uitgevoerd en die werkt, meldt The Wirecutter. Daardoor kunnen Wink-gebruikers niet meer bij het beeldmateriaal van nieuwe eigenaars als zij een Nest Cam hebben doorverkocht.

Wink maakt deel uit van het Works With Nest-programma, dat op 31 augustus stopt. Volgens Nest zullen zulke geautomatiseerde handelingen straks via het Works with Google Assistant-platform moeten lopen. Domotica-ontwikkelaars krijgen van Nest het advies om hun apparaten of diensten te integreren met het Works with Google Assistant-platform. Google noemde privacyredenen al als argument om te stoppen met Works With Nest.

Reacties (22)

bbob 20 juni 2019 20:17

moet google dit niet melden als datalek. Immer gegevens van de ene persoon zijn te bekijken geweest voor andere persoon.

Zer0 @bbob • 21 juni 2019 07:53

Camera-beelden an sich zijn geen persoonsgegevens.

Dial_Up

@Zer0 • 21 juni 2019 09:29

Correctie, die bal sla je mis. Persoonsgegevens zijn gegevens die de natuurlijke persoon identificeren of identificeerbaar maken. (GDPR Art 4). Maw, beelden van je thuis zijn persoonsgegevens.

Als extra uitsmijter kan ik je meegeven dat de CNIL, de Franse autoriteit, de camerabeelden waar minderjarigen op staan toegevoegd heeft in de lijst voor aandachtspunten voor 2019.

Zer0 @Dial_Up • 21 juni 2019 09:42

Correctie, die bal sla je mis. Persoonsgegevens zijn gegevens die de natuurlijke persoon identificeren of identificeerbaar maken. (GDPR Art 4). Maw, beelden van je thuis zijn persoonsgegevens.

Nogmaals, camera beelden an sich zijn dus geen persoonsgegevens, dat worden ze dus pas als ze iemand identificeren.

Maw, beelden van je thuis zijn persoonsgegevens

Zolang dat niemand identificeerbaar maakt niet, maw het is dus heel afhankelijk van wat er precies op de beelden te zien is.

bbob @Zer0 • 21 juni 2019 10:02

Leuk verhaal, als iemand met zijn gezicht op dat camera beeld staat is het een persoonsgegeven.
Beelden thuis als ik mag gokken zijn niet van de fotolijst aan de muur. Daar zullen zeker mensen door het beeld lopen en zie daar persoonsgegevens.

Kan me niet voorstellen dat er dus geen beelden zijn waar geen personen om staan, dus datalek en google moet die aangeven.

bbob @Zer0 • 21 juni 2019 11:21

Ik hoef geen aangifte te doen, de AP moet gewoon handhaven, google heeft gewoon wettelijke verplichting dit te malden als datalek, als ze dat n iet gedaan hebben.

Mr777 20 juni 2019 19:12

Test? Hoezo test? Het was "per ongeluk", een foutje! En ze hechten echt veel belang aan je privacy en doen er alles aan om deze ongelukjes in de toekomst te vermijden. Niets aan de hand dus.

<kuch>

[Reactie gewijzigd door Mr777 op 22 juli 2024 18:44]

Raindeer 20 juni 2019 18:47

Dit zijn precies de redenen waarom Works with Nest stopt. Er zijn teveel onderlinge relaties tussen apparaten die ervoor zorgen dat er nieuwe attack vectors mogelijk worden. In dit geval is het een toegangsdeuren die blijft hangen. Ik vermoed dat een security audit van Nest aangetoond heeft dat het systeem van Works with Nest niet te beveiligen valt.

wjn @Raindeer • 20 juni 2019 21:22

Ik denk eerder dat er zaken met camera's gedaan worden, wat nooit de bedoeling was (camera verbinden met meerdere servers, bijvoorbeeld).
Uit veiligheid zou je helemaal nooit 2 verbindingen tegelijkertijd naar een camera moeten kunnen leggen.
Ik hou de camerabeelden 100% lokaal (firewall), en maak verbinding met een NVR server als ik de beelden wil kunnen zien.

Glashelder

@Raindeer • 20 juni 2019 19:48

Dat is nogal een stelling die je zo on-onderbouwd hier stelt.

Ik denk eerder dat Google nog niet genoeg informatie heeft en gewoon zoveel mogelijk data naar zich toe wil trekken.

oef! @Glashelder • 20 juni 2019 20:48

Was deze software niet uit het pre-google tijdperk?

Dial_Up

20 juni 2019 18:38

Een factory reset zou er toch minstens moeten voor zorgen dat het apparaat niet langer gekoppeld is aan enig account. Zoals de camera fabriek-af uit de verpakking komt.

Bijkomend stelt het voorval nogmaals in het spotlicht dat het "lokaal" houden van data en lokaal runnen van smart-home-systemen een punt is dat steeds pertinenter zal worden.

Blokker_1999

@Dial_Up • 20 juni 2019 19:10

Het lijkt mij dat Wink in staat was om zonder controle van het account toegang te krijgen tot de camera. Eenmaal geauthoriseerd bleef die toegang bestaan ook al was de camera niet langer gekoppeld aan het account. Ik neem aan via een unieke identifier van de camera zelf.

Ventieldopje @Blokker_1999 • 20 juni 2019 19:25

Welke normaliter uniek gegenereert zou moeten worden bij een factory reset lijkt mij. Maar zoiets zal het inderdaad wel zijn. Erg slordig.

darknessblade @Blokker_1999 • 20 juni 2019 20:46

zal wel slecht zijn als een crimineel honderden camera's kocht hier verbinding met de wink hub mee maakte, en dan doorverkocht.

de data/beelden zijn namelijk meer waard dan het verlies op de verkoop

WillySis @Dial_Up • 20 juni 2019 21:00

Helaas zijn de meeste fabrikanten het niet met je eens.
Toch zou die optie eigenlijk verplicht moeten zijn. Een vaste koppeling met de service van de fabrikant maakt je zo wie zo kwetsbaar. Er zijn in het verleden al zoveel servers uitgezet waarmee veel apparaten nutteloos werden.
De beveiliging is een tweede punt. Wanneer dat uitsluitend via een eigen server loopt, heb je de beveiliging zelf in de hand. Als je het absoluut veilig wilt houden, dan koppel je het niet aan het internet. Voor hackers wordt het gelijk een stuk lastiger om een smart-home product te kraken. Ze zijn dan immers niet meer via één server te vinden. Men zal eerst het net af moeten speuren om je smart-home apparaten te vinden.

WORPspeed 20 juni 2019 18:19

Slordig! Erg slordig!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (22)

Sorteer op:

Weergave: