40.000 camera’s, van voederhuisjes tot babyfoons, blootgesteld aan het internet
Indignatie redactie
4 min. lezen
Uit een nieuw rapport blijkt dat tienduizenden beveiligingscamera’s in bedrijven, bewakingscamera’s en camera’s van alledaagse apparaten met internetverbinding kwetsbaar zijn voor actoren op het dark web.
Uit een rapport van een cybersecuritybedrijf van vorige week bleek dat wereldwijd meer dan 40.000 onbeveiligde camera’s online kwetsbaar zijn. Het gaat onder meer om CCTV- en beveiligingscamera’s in het openbaar vervoer, in ziekenhuizen, op vogelvoederbakken met internetverbinding en op geldautomaten.
BitSight, een bedrijf dat cybersecurityrisico’s analyseert, kon content van duizenden met internet verbonden systemen openen en downloaden, waaronder webcams voor thuis en op kantoor, babyfoons, beveiligingscamera’s voor kantoren en huisdiercamera’s. Ze vonden ook content van deze camera’s op locaties op het darkweb waar mensen toegang tot hun livefeeds delen en verkopen.
“De meest verontrustende voorbeelden waren camera’s in ziekenhuizen of klinieken die patiënten in de gaten hielden, wat een aanzienlijk privacyrisico vormde vanwege de zeer gevoelige aard van de beelden”, aldus João Cruz, Principal Security Research Scientist van het team dat het rapport opstelde.
Het bedrijf schreef in een persbericht dat er “geen elitehacking nodig is om toegang te krijgen tot deze camera’s; in de meeste gevallen zijn een gewone webbrowser en een nieuwsgierige geest voldoende, wat betekent dat die 40.000 waarschijnlijk slechts het topje van de ijsberg is.”
Afhankelijk van het type inlogprotocol dat de camera’s gebruikten, konden de onderzoekers toegang krijgen tot beelden of individuele realtime screenshots. Tegen de achtergrond van toenemende surveillance door wetshandhaving en ICE is er een duidelijk potentieel voor misbruik van onbewust openstaande camera’s.
“Het is praktisch onmogelijk om het werkelijke aantal te weten, vanwege het waanzinnig hoge aantal cameramerken en -modellen dat op de markt is”, aldus Cruz. “Elk merk en model heeft zijn eigen manier om te controleren of er iets is blootgesteld en of het mogelijk is om toegang te krijgen tot de livebeelden.”
Het rapport schetst meer voor de hand liggende risico’s, van het volgen van gedragspatronen en de realtime status van wanneer mensen thuis zijn om een inbraak te plannen, tot ‘schoudersurfen’, oftewel het stelen van gegevens door iemand te observeren die inlogt op een computer op kantoor.
Het rapport ontdekte ook camera’s in winkels, sportscholen, wasserettes en op bouwplaatsen, wat betekent dat blootgestelde camera’s mensen in hun dagelijks leven in de gaten houden. De geografische gegevens die de IP-adressen van de camera’s leveren, in combinatie met commercieel verkrijgbare gezichtsherkenningssystemen, kunnen gevaarlijk zijn voor mensen die in die bedrijven werken of er gebruik van maken.
U kunt achterhalen of uw camera is blootgesteld via een website zoals Shodan.io , een zoekmachine die scant naar apparaten die met het internet zijn verbonden, of door te proberen toegang te krijgen tot uw camera vanaf een apparaat dat is aangemeld bij een ander netwerk. Gebruikers moeten ook de documentatie van de fabrikant raadplegen in plaats van de camera direct aan te sluiten om kwetsbaarheden te minimaliseren. Zorg er ook voor dat ze hun eigen wachtwoord instellen op elk apparaat dat met het IoT is verbonden.
Dit komt doordat veel merken standaard logins gebruiken voor hun producten, en deze logins zijn gemakkelijk online te vinden . Het BitSight-rapport probeerde niet om dit soort camera’s te hacken of wachtwoorden te bruteforcen, maar “als we dat zouden doen, zijn we er vast van overtuigd dat het aantal hoger zou liggen”, aldus Cruz. Oudere camerasystemen met verouderde en niet-onderhouden software zijn gevoeliger voor deze vorm van hacken; een lichtpuntje is dat deze “digitale spookschepen” in aantal lijken af te nemen , aangezien de oudste en minst veilige systemen worden vervangen of volledig uitvallen.
Onbeveiligde camera’s trekken hackers en kwaadwillenden aan, en de risico’s kunnen verder reiken dan alleen het gênante, persoonlijke of zelfs individuele. In maart van dit jaar wist de hackersgroep Akira met succes een organisatie te hacken met behulp van een onbeveiligde webcam , nadat een eerste aanvalspoging effectief was voorkomen door cyberbeveiligingsprotocollen. In 2024 vroeg de Oekraïense overheid burgers om alle uitzendende camera’s uit te schakelen, nadat Russische agenten webcams hadden gehackt bij een appartementencomplex en een parkeerplaats.
Ze veranderden de richting van de camera’s zodat ze op nabijgelegen infrastructuur waren gericht en gebruikten de beelden bij het plannen van aanvallen. Oekraïne blokkeerde de werking van 10.000 digitale beveiligingscamera’s met internetverbinding om verdere informatielekken te voorkomen, en een rapport van mei 2025 van het Joint Cybersecurity Advisory beschreef aanhoudende aanvallen van Russische spionage-eenheden op particuliere en gemeentelijke camera’s om materiaal dat Oekraïne binnenkwam te traceren.
