Orvibo IoT Domotica

Chinese smart home fabrikant lekt gegevens van twee miljoen gebruikers wereldwijd

by Redactie IoT Journaal3 juli 2019

Orvibo, een Chinese fabrikant van allerhande spullen voor de ‘smart home‘, heeft een database met ruim twee miljard logbestanden van meer dan twee miljoen gebruikers gelekt. Het bewuste bestand stond onbeveiligd op het internet. In de database waren zaken als inloggegevens, locatie en zelfs opgenomen gesprekken van gebruikers te vinden. Dit meldt de Amerikaanse VPN-specialist vpnMentor, de ontdekker van het lek.

Wie op de website van Orvibo naar berichtgeving over het lek zoekt, komt bedrogen uit. Het bedrijf rept nergens over het incident. Ook op zijn Facebook-pagina is er niets over te vinden. Wel staan er de nodige berichten van ontevreden klanten, die onder andere klagen over het gebrek aan softwareupdates en gebrekkig functionerende apparatuur. De fabrikant heeft zich beperkt tot Twitter om mededelingen te doen over het security probleem. Daar worden gebruikers gerustgesteld met de mededeling dat er inmiddels maatregelen zijn genomen om het op te lossen. Zo zou de encryptiemethode van wachtwoorden zijn verbeterd en heeft het bedrijf ‘professionele cybersecurity experts’ ingehuurd om de beveiliging van zijn producten een positieve impuls te geven.

[Tekst loopt door onder de afbeelding.]

Orvibo Twitter IoT Security

Nederlandse klanten

Het Chinese Orvibo maakt een brede reeks aan hardware waarmee het huis is te ‘verslimmen’: van speakers met slimme spraakassistenten tot deursloten en complete smart home-systemen waarmee diverse soorten apparaten zijn aan te sturen via apps en spraakcommando’s. In Nederland worden de spullen onder andere verkocht door bol.com. Op diens site wordt eveneens niet gerept over het incident. Het is vooralsnog niet bekendgemaakt door vnpMentor of er onder de buitgemaakte gegevens ook informatie van Nederlandse klanten zat. Het is echter wel aannemelijk, gezien het aantal gelekte logbestanden én het feit dat er in Nederland ook de nodige klanten van Orvibo zijn.

Nederlandse regering komt met maatregelen

Kennelijk bestaat toeval wél: het nieuws over het security probleem van Orvibo komt een kleine week na een update van staatssecretaris Mona Keijzer (Economische Zaken en Klimaat) aan de Tweede Kamer over de ‘Roadmap Digitaal Veilige Hard- en Software’. In de brief staat onder andere dat er door telecomtoezichthouder Agentschap Telecom een onderzoek heeft uitgevoerd naar de ‘digitale veiligheid van 22 apparaten in de categorieën slim speelgoed, IP-camera’s, routers, slimme sloten, babymonitors en slimme thermostaten’. De resultaten van het onderzoek moeten ‘binnenkort’ worden gepubliceerd. De Kamerbrief van staatssecretaris Keijzer is via IoTJournaal te downloaden (10 pagina’s, 123 Kb, PDF).

“Steeds meer apparaten, naar verwachting dertig miljard in 2020, zijn verbonden met het internet. Slimme thermostaten, koelkasten, speelgoed en tv’s: ze zijn aantrekkelijk voor consumenten en bieden ondernemers extra kansen op inkomsten”, aldus staatssecretaris Mona Keijzer in een officiële toelichting op haar Kamerbrief. “Daarmee veilig omgaan, gaat niet vanzelf. Doe je dat niet, dan ben je kwetsbaar of wordt je besmette apparaat ingezet om bij anderen aan gegevens of zelfs geld te komen. Daarom gaan kennisinstellingen, bedrijven en overheid samenwerken om dit te verbeteren.” De bewindsvrouw geeft hier in de Kamerbrief concrete voorbeelden van. Zo gaat de TU Delft ‘met financiële steun vanuit het ministerie van EZK’ tot en met 2021 metingen doen naar onveilige en al gehackte IoT-apparaten in Nederland. Dat doen zij door bijvoorbeeld netwerken van besmette apparaten (botnets) in kaart te brengen. Het Digital Trust Center van het ministerie van EZK gaat vervolgens in gesprek met fabrikanten over maatregelen om besmette apparaten veilig te maken. Door besmettingsinformatie over apparaten te delen met de vereniging Abuse Information Exchange, een Nederlands samenwerkingsverband van internetaanbieders, kunnen zij hun klanten informeren hoe zij besmettingen kunnen opschonen.

‘Najaar 2019 start consumentencampagne’

Het ministerie van Economische Zaken en Klimaat heeft door het marktonderzoeksbureau KANTAR (voorheen bekend als TNS-Nipo) onder meer dan 2.600 ondernemers en consumenten laten onderzoeken hoe zij omgaan met het Internet-of-Things. Eén op de vijf consumenten geeft aan (helemaal) niet te weten hoe apparaten die met het internet verbonden zijn, beveiligd moeten worden. Een ruime meerderheid van de consumenten zegt te weten hoe ze een computer of mobiele telefoon moeten beveiligen. Voor andere slimme apparaten zoals speelgoed, lampen of koelkasten is dit nog minder dan de helft. Software updates worden in grote mate uitgevoerd, regelmatig wachtwoorden wijzigen doet een minderheid. Het KANTAR-rapport is gratis via IoTJournaal te downloaden (33 pagina’s, 687 Kb, PDF).

Het ministerie van Economische Zaken en Klimaat start mede op basis van de onderzoeksresultaten en de Roadmap Digitaal Veilige Hard- en Software eind dit jaar een overheidscampagne om consumenten en ondernemers te informeren hoe zij hun digitale veiligheid kunnen verbeteren.

Europese richtlijnen en wetgeving

ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, heeft op zijn beurt in februari 2019 een reeks – niet dwingende – technische security-richtlijnen geïntroduceerd voor partijen die zich bezighouden met IoT-oplossingen bedoeld voor consumenten. Hierbij gaat het niet alleen om leveranciers van hard- en software. Volgens de non-profit club moeten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud platformen) ervan kunnen profiteren. Het document is gratis via IoTJournaal te downloaden (16 pagina’s, 85 Kb, PDF).

De standaardisatieclub heeft in totaal vier hoofdthema’s voor de goede beveiliging van consumenten-IoT gedefinieerd. In het ETSI-document wordt onder meer gerept over softwareupdates en databescherming. Voor dat laatste heeft de vorig jaar doorgevoerde Europese General Data Protection Regulation (GDPR) model gestaan. De richtlijnen zijn niet dwingend: daar is weer aparte regelgeving van de Europese Commissie voor nodig. Om tot zijn security-richtlijnen te komen, heeft ETSI zich onder andere gebaseerd op soortgelijke aanbevelingen afkomstig uit de kokers van de GSMA (brancheclub voor partijen actief in de mobiele data- en telecommunicatie), de standaardisatieclub ISO en de Britse overheid. De Europese Commissie en het Europese parlement hebben op hun beurt in maart 2019 de Cybersecurity Act (CSA) het licht laten zien. Hierin wordt onder andere de goede beveiliging van IoT-oplossingen voor consumenten geborgd.