Deze site streamt livebeelden van beveiligingscamera's met standaardwachtwoorden

Update 3 november 2014: Na de publicatie van dit verhaal heeft de veronderstelde administrator van de site geantwoord op e-mails van Motherboard. Hij herhaalde de claim dat het doel van zijn site is om nadruk te leggen op de slechte beveiliging van de gebruikers. "Alleen [de website] kan de schaal van het probleem laten zien," schreef hij of zij."Dit probleem was vele jaren verborgen."

De admin schreef ook dat nog niemand heeft gevraagd om zijn of haar camera van de site af te halen. "De meeste mensen weten nog steeds niet van dit probleem," stond er in een e-mail. Het toevoegen van nieuwe beelden is schijnbaar "geautomatiseerd," waardoor er elke week duizenden nieuwe camera's bijkomen.

Vorige week zat ik achter mijn computer en keek hoe een jonge man uit Hong Kong achter zijn laptop zat te chillen, naar een Israëlische vrouw die de pashokjes van een kledingwinkel aan het opruimen was en naar een oudere vrouw in Groot-Britannië die naar de TV keek.

Al deze mensen waren zich er niet van bewust dat ik ze bespiedde, duizenden kilometers verderop, via apparaten die onopzettelijk hun privélevens uitzenden op internet.

Ik vond de beelden op een website die claimt live beelden te hebben van honderduizenden privécamera's. Je kunt uit een lijst 152 landen kiezen, zo divers als Thailand, Sudan en Nederland. Ja, in Nederland zijn 2.424 camera's te bekijken.

Deze specifieke website stelt IP-camera's bloot. Dit zijn externe apparaten die voornamelijk gebruikt worden als beveiligingssysteem of als babyfoon. Sommige van deze camera's hebben een standaard wachtwoord die veel consumenten niet aanpassen. Op deze manier kan de site bij de beelden komen.

Het is allemaal bedoeld om mensen bewuster te maken over computerbeveiliging, claimt de maker van de website (let dan maar niet op de reclame's op de site). "Deze website is gemaakt om het belang van beveiligingsinstellingen te laten zien," staat er te lezen.

De website is een van de laatste, en misschien wel grootste, voorbeelden binnen een trend waarin beveiligingsonderzoekers de privacy van mensen schaden onder het mom van het laten zien van beveiligingslekken. Hoewel deze methode soms leveranciers dwingt om hun spullen aan te passen, kan dit er ook voor zorgen dat het grote publiek ermee wordt geschaad.

Meestal wanneer een onderzoeker een lek vindt in een apparaat of systeem, zal hij het bewuste bedrijf inlichten en ze vervolgens achter de schermen helpen om een oplossing te vinden. In mei vertelde een onderzoeker bijvoorbeeld aan Google en Microsoft over een specifieke manier om malware te verspreiden door internetters te laten geloven at ze iets downloaden van een vertrouwde website. Het probleem werd eerst aangepakt, voordat de onderzoeker zijn bevindingen openbaar maakte.

Meestal houden dat soort 'goede hackers' zich aan strikte richtlijnen. "De meeste verantwoordelijk technieken voor het onthullen van informatie komt bij de RFPolicy vandaan," schreef Shane Macaulay, de directeur van de cloudbeveiliging van IOActive in een e-mail. "De procedure schrijft voor hoe je een leverancier die niets wil aanpassen kan openbaren op verschillende beveiligingsfora om het nieuws naar buiten te krijgen.

Deze principes zijn in geen enkel geval bindend; het zijn meer suggesties over hoe je op een fatsoenlijke manier als hacker omgaat met ontwikkelaars/verkopers van software, zoals het nauw contact houden samen en de informatie op een gepast ogenblik openbaar maken.

Maar soms zijn er mensen die vinden dat een andere aanpak nodig is. Eerder dit jaar kwamen er twee onderzoekers uit het niets met een zwak punt van USB. De aanval kon op elke USB-apparaat ondetecteerbare en krachtige software laden, zonder dat er een manier was om dit tegen te gaan.

Dus de onderzoekers publiceerden de details van de zwakke plekken om een hele industrie – diegene die USB-apparaten maken – te dwingen om dit probleem op te lossen. Dit had een nadeel: met de code die op Github was geplaatst kon theoretisch gezien elke ondernemende crimineel met dit onderzoek grof geld verdienen, waarbij de veiligheid van ontelbaar veel mensen in gevaar kwam.

Matthew Green, assistent onderzoekersprofessor van de afdeling Computer Science aan de John Hopkins University, vertelde me aan de telefoon dat dit soort acties soms nodig zijn. "Ik geef toe dat er soms zwakke plekken zijn die hardnekkig zijn: je vertelt mensen erover, iedereen weet er van, maar niemand probeert er iets aan te doen," zei hij. "In theorie, in zulke gevallen, moet je iets doen om ervoor te zorgen dat er actie wordt ondernomen."

Maar in het geval van de IP-camarawebsite, zei hij dat hij niet denkt dat honderdduizenden feeds van beveiligingscamera's de juiste methode was om dit aan te pakken. "Het verschil is dat er hier echt slachtoffers zijn, het zijn individuen die worden bekeken," zei Green.

Deze website maken, zei Green, "komt me onverantwoordelijk over." Dat zou trouwens zijn in het geval dat de makers deze website ook echt hebben gemaakt om veilighedslekken aan de kaak te stellen. "Er zijn veel mensen die allerlei stunts op internet uithalen, alleen voor de fame," voegde Green eraan toe. De eigenaar van de website antwoordde niet op de vraag voor commentaar.

In 2012 gebeurde er iets soortgelijks als nu, toen voornamelijk met Trendnet camera's. De blog Console Cowboys gaf gedetailleerde uitleg over de zwakke punten van het systeem. Iemand anders had uiteindelijk een interface gemaakt die lijkt op Google Maps, waar je overal ter wereld zulke camera's kon volgen, volgens eigen zeggen om bewustwording te creëren. In reactie hierop waarschuwde Trendnet alle gebruikers en maakte een update om het lek te dichten.

Maar deze site richt zich niet op een technische fout en de makers lijken niet je alledaagse vriendelijke hacker. Hoewel de site alle merken noemt die ze aftappen (Foscam, Panasonic, Linksys en IPCamera, alsook AvTech en Hikvision digitale videorecorders), ligt de zwakte niet bij de producenten van de camera's. Het probleem ligt voornamelijk bij verkeerd wachtwoord gebruik van de consumenten.

Er zijn verschillende dingen die de cameraproducenten kunnen doen, zoals alle consumenten dwingen een nieuw wachtwoord in te stellen wanneer ze hun camera voor het eerst installeren of elke camera die ze maken gelijk een uniek wachtwoord geven.

Foscam's COO Chase Rhymes vertelde me dat zij de eerste optie een jaar geleden al hebben ingevoerd, zodra ze erachter kwamen dat er bij hun camera's werd meegekeken vanwege het wachtwoord. Maar "het was zeker niet door deze website," zei Rhymes. Het was omdat er in 2013 bij een babyfoon werd ingebroken. Foscam kende de bewuste website al wel, omdat journalisten van de Mail on Sunday hen hadden gewaarschuwd toen ze vorige maand de site ontdekten.

"Alle camera's die worden gemaakt vereisen dat de gebruiker het wachtwoord aanpast als hij hem gaat gebruiken," vertelde Rhymes in een telefonisch interview. Voor de camera's die al worden gebruikt zou er een update zijn die de gebruiker dwingt om het wachtwoord te veranderen. Het bedrijf zegt ook dat ze hun klanten en verkopers al op de hoogte hebben gesteld via een e-mail.

Linksys hoorde voor het eerst over de website van mij. Het bedrijf "probeert nog steeds te achterhalen welke Linksyscamera's er worden gebruikt om mee te kijken op de site." Ze gaan er vanuit dat het oude camera's zijn, die niet meer worden gemaakt. De nieuwere modellen laten een waarschuwing zien aan gebruikers die hun wachtwoord nog niet hebben veranderd.

Volgens de webcamsite kan je een live feed laten verwijderen zodra je je eigen beelden ontdekt en je ze e-mailt. Als je niet wil dat je camerabeelden op de lange termijn rondgaan op internet, raden ze je aan om je wachtwoord te veranderen. Maar hoe moet je als persoon aan de andere kant van de camera er in eerste instantie erachter komen dat je wordt bekeken?

"Het echte probleem is dat de mensen die de slachtoffers zijn – de mensen die worden bekeken – niet per se gewaarschuwd worden dat dit gebeurt," zei Green.

Zelfs als deze onderzoeker – als we hem al zo kunnen noemen – echt zwakke plekken wil laten zien vanwege de veiligheidsrisico's, dan zijn deze praktijken alsnog illegaal binnen het Amerikaanse rechtssysteem.

"Het is een overduidelijke overtreding van de Computer Fraud and Abuse Act (CFAA)," vertelde Jay Leiderman met aan de telefoon. Hij is een Amerikaanse advocaat met ervaring in zaken met gehackte computers.

Het lijkt erop dat de website van provider is gewisseld sinds het onderzoek van de Mail; de journalisten zeiden dat ze de site hadden opgespoord in Moldavië. Maar het lijkt erop dat de site nu gehost wordt door GoDaddy.com met een IP-adres uit Moskou.

Wettelijk gezien maakt het niet eens uit dat de camera's niet 'echt' gehackt worden en de toegang wordt verleend via het wachtwoord, zei Leiderman. "Je zet een wachtwoord op je computer om hem privé te houden, zelfs als het wachtwoord gewoon '1' is," zei hij. "Het is toegang tot een beveiligde computer."

Soms is er wat te zeggen om op een brutale manier veiligheidslekken openbaar te maken. Het kan bedrijven dwingen iets eraan te doen of om het probleem openbaar te maken wat anderszins genegeerd zou worden. Maar websites zoals deze, die de privélevens van mensen openbaren – mensen die er toch niet achter zouden komen – komen niet met oplossingen. De echte motieven van de maker van de website blijven onduidelijk.

"Ik denk dat het onwaarschijnlijk is dat dit resulteert in brede aandacht voor het probleem," concludeerde Green. "Ik denk dat het uiteindelijk meer kwaad dan goed zal doen."