Zeker duizenden slimme of IoT-koelkasten bij zowel bedrijven en (zorg)instellingen blijken eenvoudig te hacken. Dat blijkt uit onderzoek van Safety Detective.
Onder de getroffen apparaten zijn ook Nederlandse. De onderzoekers vonden zeker 7.000 systemen met een slechte beveiliging. De geteste apparaten komen van het Britse Resource Data Management. Behalve in Nederland maken ook landen als Duitsland, Rusland Groot Brittannië en Australië maken gebruik van de gewraakte IoT-systemen.
HTTP
Binnenkomen was volgens de onderzoekers kinderlijk eenvoudig. Om te beginnen gebruiken de websites het onbeveiligde HTTP-protocol en de standaard 9000-, 8080 of 8100-poort. Zelfs poort 80 is vaak al voldoende. Verder gebruiken de meeste van de onderzochte IoT-systemen de standaard gebruikersnamen en wachtwoorden uit de gebruiksaanwijzingen op de website. Dit wordt achteraf zelden gewijzigd.
Verder kun je al deze systemen gewoon via elke standaardbrowser benaderen. Welke URL je nodig hebt is volgens de onderzoekers een kwestie van even Googlen.
De hackers namen de proef op de som door te proberen een van de IoT-koelkasten van een filiaal van Marks &Spencer te kraken. Het lukte via de beschikbare gegevens al snel om in het systeem te komen en de koelkast te laten ontdooien. De hackers waren meteen in staat toegang te krijgen tot het hele systeem. De groep was bijvoorbeeld ook in staat toegang te krijgen tot de instellingen van koelsystemen van een grote farmaceut in Maleisië.
De groep kreeg een lauwe reactie toen de resultaten aan Resource Data Management werden gepresenteerd. Het bedrijf stelt enkel dat systeembeheerders en eigenaren het standaardwachtwoord moeten veranderen. Inmiddels is er wel een software-upgrade beschikbaar.
