‘Ruim 400.000 DVR-systemen zijn zeer slechts beveiligd’

Maakt uw bedrijf gebruik van beveiligingscamera’s in combinatie met een digitale videorecorder (DVR)? Dan bestaat de kans dat deze camera’s via internet eenvoudig toegankelijk zijn voor onbevoegden. Een onderzoeker heeft namelijk ruim 460.000 van dit soort DVR-systemen opgespoord die met standaard inloggegevens zijn beveiligd, terwijl deze inloggegevens gewoon op internet opgezocht kunnen worden. Iedereen kan hierdoor probleemloos met aangesloten camera’s meekijken.

Julian van ATechDad trekt in een blogpost aan de bel over zijn bevindingen. De man vroeg zich af of hij op afstand toegang zou kunnen krijgen tot DVR-systemen van derden. Hij nam de proef op de som en gebruikte hiervoor Project Sonar, een project waarbij beveiligingsbedrijf Rapid7 grootschalige scans uitvoert van het internet. Hierbij wordt allerlei informatie verzameld, waaronder ook informatie over DVR-systemen die via internet toegankelijk zijn.

Hardcoded inloggegevens
In totaal wist Julian 467.807 DVR-systemen op te sporen waarvan de inloggegevens ‘hardcoded’ zijn. De inloggegevens zijn hierbij in de programmeercode van het systeem ingebakken en kunnen dus niet zo maar worden veranderd. De gegevens zijn tegelijkertijd vaak gewoon openbaar toegankelijk op internet. Hardcoded inloggegevens bieden dan ook weinig tot geen veiligheid.

“Hopelijk zijn veel van deze ruim 400.000 apparaten valse positieven. Waarom staan deze systemen niet achter een firewall? Zelfs een consumentenrouter zou al beter zijn dan niets”, merkt Julian op. Het gaat in de meeste gevallen om DVR-systemen van Chinese makelij die onder allerlei merknamen op de markt worden gebracht. Systemen van het bedrijf NetSurveillance zouden het vaakst op de lijst voorkomen.