Sponsored content
Sponsored content

Iedereen ziet hoe jij in bed ligt


Onlangs een hot item in het nieuws: de website insecam.com die beelden publiceert van tienduizenden onbeveiligde beveiligingscamera’s ter wereld. Onbeschaamd gluren bij mensen in de woonkamer, de kinderkamer of zelfs de ouderlijke slaapkamer. En dat alles omdat gebruikers het standaard wachtwoord van de camera niet hebben aangepast. Dom van die mensen? Of strafbaar dat die beelden worden gepubliceerd?

Om maar te beginnen met die laatste vraag: het is niet toegestaan om die beelden online te zetten. ‘Het is wellicht niet strafbaar, maar het is een inbreuk op de privacy’, zegt Niels Aafjes, privacy expert bij Deloitte. ‘De man achter insecam.com heeft namelijk geen toestemming voor publicatie van de beelden. Natuurlijk is het onverstandig dat mensen dat wachtwoord niet hebben aangepast, maar er zit een verschil tussen geen wachtwoord en een standaard wachtwoord. Heb je geen wachtwoord, dan zet je je voordeur als het ware open en mogen mensen zomaar binnenlopen. Maar gebruik je wel een wachtwoord – al dan niet standaard – dan wil je niet dat iedereen die beelden zomaar kan bekijken.’

Leuk, een cameraatje

Dat dat toch kan, komt door onwetendheid van consumenten en de knulligheid van fabrikanten, die elke camera configureren met hetzelfde standaard wachtwoord. Een hacker heeft vanuit zijn Russische zolderkamer vervolgens een scanprogramma gebouwd die met allerlei standaard wachtwoorden – admin123, 12345 – probeerde om in te loggen bij tienduizenden camera’s. Dat lukte en hoe: we kunnen op wereldwijde schaal gluren bij de buren.

‘De hacker zegt dat hij de actie is gestart vanuit een soort activisme’, zegt Roel van Rijsewijk, partner cyber security bij Deloitte. ‘Hij wil een bewustwording creëren over dit onderwerp. Die awareness ontbreekt bij consumenten helaas nog te vaak. Mensen overzien de gevolgen niet van onvoorzichtig gebruik van wachtwoorden. Ze denken: leuk, een cameraatje. Hang ik thuis op en dan kan ik op vakantie zien wat voor weer het thuis is of ik zie vanaf mijn werk of de hond wel braaf in zijn mand ligt. Maar ze realiseren zich niet dat de rest van de wereld dat nu ook kan zien.’

Naming and shaming

Hoe activistisch en nobel de hacker het ook mag bedoelen, Aafjes en Van Rijsewijk keuren de actie af. Aafjes: ‘Als je googlet op insecam en bij de zoekresultaten naar de afbeeldingen kijkt, zie je naakte mensen, iemand die in zijn ondergoed staat te stofzuigen en een kindje op de bank. Op veel individuen waarvan de beelden nu online staan heeft deze actie dus grote impact. De burger wordt aangeschoten wild op deze manier.’ Van Rijsewijk valt hem bij. ‘Ik vind dat de zorgplicht in dit geval bij bedrijven ligt. Als het je gaat om naming and shaming, zoals die hacker beweert, nagel dan de fabrikanten van de camera’s aan de schandpaal in plaats van de gebruikers. Pikant detail is overigens dat er een flink businessmodel aan die site hangt. Er vliegen allemaal banners voorbij dus de hacker vangt er geld voor. Dat maakt het wel wat minder activistisch.’

Veiligheidslekken

De actie van de Russische hacker staat uiteraard niet op zichzelf. Het is een gevolg van alle digitale ontwikkelingen waar we middenin zitten en waar we niet altijd de gevolgen van overzien, betoogt Van Rijsewijk. ‘Zie het als learning by doing. Bedrijven bedenken steeds wat nieuws en er kan technisch steeds meer.’ Ook telkens nieuwe uitdagingen voor hackers dus. Van Rijsewijk: ‘Dat laatste hoeft niet per se een bedreiging te zijn. Bedrijven kunnen er hun voordeel mee doen als ze door hackers op veiligheidslekken worden gewezen. Mijn advies is altijd om een goed responsible disclosure-beleid te maken. Je verzoekt hackers een eventueel lek te melden in plaats van die publiek te maken. In ruil daarvoor neem je geen juridische stappen. Wat je noemt win-win.’