Hackers kraken duizenden Verkada-camera’s

Dit artikel delen:

De Amerikaanse security-startup Verkada is slachtoffer geworden van een gigantische hack. Dat meldt Bloomberg. Bij de kraak zijn duizenden van de camera’s van het bedrijf overgenomen en kon live worden meegekeken. De camera’s hingen in scholen, gevangenissen, ziekenhuizen, politiebureaus, fabrieken van Tesla en bij Verkada zelf.

Het was de Zwitserse securityspecialist Tillie Kottman die de kwetsbaarheid ontdekte en beelden doorspeelde aan Reuters van onder meer een gevangenis in Alabama, een Tesla-magazijn in China, verschillende politiebureaus en scholen. Kottman werkte voor de operatie samen met enkele andere hackers waarvan de identiteit niet bekend werd gemaakt.

De hackersgroep had online inloggegevens gevonden waarmee ze speciale ‘root’-toegang kregen tot de camera’s. Alles in totaal zou de livestream van zowat 150.000 camera’s te volgen zijn geweest. Alleen bij Tesla waren meer dan 220 camera’s te volgen. Volgens Kottman zou het mogelijk zijn geweest om via de camera’s ook andere delen van de netwerken van de betrokken instellingen binnen te dringen.

Verkada heeft ondertussen alle administrator-accounts preventief uitgeschakeld, waardoor de toegang niet meer mogelijk is. Het bedrijf lag vorig jaar ook al onder vuur nadat de website Vice een artikel bracht dat stelde dat sommige werknemers de camera’s en de bijhorende gezichtsherkenning hadden gebruikt om foto’s van vrouwen uit te wisselen.

Super admin

Veiligheidsspecialisten verbazen zich er ondertussen over dat de camera’s zo makkelijk te benaderen waren via ‘super admin’-accounts. ‘Super Admin is een zeer verontrustend niveau van macht voor een account’, zegt Chris Goettl van het securitybedrijf Ivanti. ‘Een dergelijke account moet worden beschermd met multifactorauthenticatie en het gebruik van wachtwoordkluizen. Een account mag eigenlijk geen macht hebben over een hele organisatie.’

Ook het feit dat de hackers root-toegang hadden (waardoor ze zelf code konden uitvoeren) en het feit dat dit een ingebouwde functie van de camera’s was, verontrust Goettl. ‘Dit is een groeiende zorg in het internet of things. Aangesloten apparaten moeten goed worden geconfigureerd, standaardwachtwoorden moeten worden verwijder, en de beveiliging moet centraal staan bij het updaten van software en firmware. Ze moeten ook penetratietests ondergaan om ervoor te zorgen dat ze geen deuren laten openstaan, zoals root-toegang tot een apparaat waar dat niet nodig is. Daarnaast moeten iot-apparaten ook worden gesegmenteerd. Niet-gevoelige apparaten zoals het koffiezetapparaat, de koelkast en dergelijke moeten worden gescheiden van gebruikersomgevingen en gevoelige delen van het netwerk.’

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-11T15:49:00.000Z Frederic Petitjean
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.