Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wink-hub gaf vorige gebruiker Nest-camera toegang tot beelden nieuwe eigenaar

De integratie van Nest-camera's met de hub van Wink gaf een vorige eigenaar toegang tot beelden van een Nest-camera van een nieuwe eigenaar, ook als de vorige eigenaar de camera uit zijn of haar account had verwijderd. Google heeft een fix uitgebracht voor het beveiligingsprobleem.

Nest Cam Indoor

De vorige eigenaar kon de beelden alleen bekijken als stills via de dienst van de Wink-hub, meldt The Wirecutter. Dat is mogelijk, omdat de Wink-hub rechtstreeks gekoppeld zit aan een Nest-camera en die koppeling alleen verdwijnt als de gebruiker de camera in de instellingen van Wink verwijdert.

Het beveiligingsprobleem kwam naar voren in de Wink-gebruikersgroep op Facebook. De enige oplossing was dat gebruikers van Wink de koppeling met de camera verbraken in de software van Wink. Google heeft inmiddels een fix uitgevoerd en die werkt, meldt The Wirecutter. Daardoor kunnen Wink-gebruikers niet meer bij het beeldmateriaal van nieuwe eigenaars als zij een Nest Cam hebben doorverkocht.

Wink maakt deel uit van het Works With Nest-programma, dat op 31 augustus stopt. Volgens Nest zullen zulke geautomatiseerde handelingen straks via het Works with Google Assistant-platform moeten lopen. Domotica-ontwikkelaars krijgen van Nest het advies om hun apparaten of diensten te integreren met het Works with Google Assistant-platform. Google noemde privacyredenen al als argument om te stoppen met Works With Nest.

Door Arnoud Wokke

Redacteur mobile

20-06-2019 • 18:16

22 Linkedin Google+

Reacties (22)

Wijzig sortering
moet google dit niet melden als datalek. Immer gegevens van de ene persoon zijn te bekijken geweest voor andere persoon.
Camera-beelden an sich zijn geen persoonsgegevens.
Correctie, die bal sla je mis. Persoonsgegevens zijn gegevens die de natuurlijke persoon identificeren of identificeerbaar maken. (GDPR Art 4). Maw, beelden van je thuis zijn persoonsgegevens.

Als extra uitsmijter kan ik je meegeven dat de CNIL, de Franse autoriteit, de camerabeelden waar minderjarigen op staan toegevoegd heeft in de lijst voor aandachtspunten voor 2019.
Correctie, die bal sla je mis. Persoonsgegevens zijn gegevens die de natuurlijke persoon identificeren of identificeerbaar maken. (GDPR Art 4). Maw, beelden van je thuis zijn persoonsgegevens.
Nogmaals, camera beelden an sich zijn dus geen persoonsgegevens, dat worden ze dus pas als ze iemand identificeren.
Maw, beelden van je thuis zijn persoonsgegevens
Zolang dat niemand identificeerbaar maakt niet, maw het is dus heel afhankelijk van wat er precies op de beelden te zien is.
Leuk verhaal, als iemand met zijn gezicht op dat camera beeld staat is het een persoonsgegeven.
Beelden thuis als ik mag gokken zijn niet van de fotolijst aan de muur. Daar zullen zeker mensen door het beeld lopen en zie daar persoonsgegevens.

Kan me niet voorstellen dat er dus geen beelden zijn waar geen personen om staan, dus datalek en google moet die aangeven.
Ik hoef geen aangifte te doen, de AP moet gewoon handhaven, google heeft gewoon wettelijke verplichting dit te malden als datalek, als ze dat n iet gedaan hebben.
Test? Hoezo test? Het was "per ongeluk", een foutje! En ze hechten echt veel belang aan je privacy en doen er alles aan om deze ongelukjes in de toekomst te vermijden. Niets aan de hand dus.

<kuch>

[Reactie gewijzigd door Mr777 op 20 juni 2019 20:46]

Dit zijn precies de redenen waarom Works with Nest stopt. Er zijn teveel onderlinge relaties tussen apparaten die ervoor zorgen dat er nieuwe attack vectors mogelijk worden. In dit geval is het een toegangsdeuren die blijft hangen. Ik vermoed dat een security audit van Nest aangetoond heeft dat het systeem van Works with Nest niet te beveiligen valt.
Ik denk eerder dat er zaken met camera's gedaan worden, wat nooit de bedoeling was (camera verbinden met meerdere servers, bijvoorbeeld).
Uit veiligheid zou je helemaal nooit 2 verbindingen tegelijkertijd naar een camera moeten kunnen leggen.
Ik hou de camerabeelden 100% lokaal (firewall), en maak verbinding met een NVR server als ik de beelden wil kunnen zien.
Dat is nogal een stelling die je zo on-onderbouwd hier stelt.

Ik denk eerder dat Google nog niet genoeg informatie heeft en gewoon zoveel mogelijk data naar zich toe wil trekken.
Was deze software niet uit het pre-google tijdperk?
Een factory reset zou er toch minstens moeten voor zorgen dat het apparaat niet langer gekoppeld is aan enig account. Zoals de camera fabriek-af uit de verpakking komt.

Bijkomend stelt het voorval nogmaals in het spotlicht dat het "lokaal" houden van data en lokaal runnen van smart-home-systemen een punt is dat steeds pertinenter zal worden.
Het lijkt mij dat Wink in staat was om zonder controle van het account toegang te krijgen tot de camera. Eenmaal geauthoriseerd bleef die toegang bestaan ook al was de camera niet langer gekoppeld aan het account. Ik neem aan via een unieke identifier van de camera zelf.
Welke normaliter uniek gegenereert zou moeten worden bij een factory reset lijkt mij. Maar zoiets zal het inderdaad wel zijn. Erg slordig.
zal wel slecht zijn als een crimineel honderden camera's kocht hier verbinding met de wink hub mee maakte, en dan doorverkocht.

de data/beelden zijn namelijk meer waard dan het verlies op de verkoop
Helaas zijn de meeste fabrikanten het niet met je eens.
Toch zou die optie eigenlijk verplicht moeten zijn. Een vaste koppeling met de service van de fabrikant maakt je zo wie zo kwetsbaar. Er zijn in het verleden al zoveel servers uitgezet waarmee veel apparaten nutteloos werden.
De beveiliging is een tweede punt. Wanneer dat uitsluitend via een eigen server loopt, heb je de beveiliging zelf in de hand. Als je het absoluut veilig wilt houden, dan koppel je het niet aan het internet. Voor hackers wordt het gelijk een stuk lastiger om een smart-home product te kraken. Ze zijn dan immers niet meer via één server te vinden. Men zal eerst het net af moeten speuren om je smart-home apparaten te vinden.
Slordig! Erg slordig!

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Nederland

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True