Duizenden jacuzzi’s zijn door een beveiligingslek op afstand door aanvallers te bedienen, zo heeft een Brits securitybedrijf ontdekt. Het gaat om jacuzz’s van fabrikant Balboa Water Group (BWG), die zijn voorzien van een eigen wifi-accesspoint. Via een app van BWG is het mogelijk om de watertoevoer en de temperatuur in te stellen.

De app kan als een client verbinding maken en de jacuzzi lokaal bedienen. Het kan de jacuzzicontroller ook configureren zodat het als een client op het thuisnetwerk beschikbaar is. Op deze manier is het mogelijk om via een programmeerinterface (API) de jacuzzi waar dan ook ter wereld te bedienen. Wereldwijd zouden er meer dan 30.000 BWG-jacuzzi’s online zijn.

Onderzoeker Ken Munro van Pen Test Partners ontdekte dat het wifi-netwerk van de jacuzzi niet beveiligd is. Iedereen in de buurt kan er verbinding mee maken en zo het apparaat bedienen. Munro wilde ook kijken of hij alle jacuzzi’s van BWG kan bedienen, waar ze zich ook bevinden. Dit blijkt mogelijk via de API. Die maakt gebruik van een vast wachtwoord en gebruikt het mac-adres van het wifi-netwerk van de jacuzzi als identificatie.

Het achterhalen van alle mogelijke mac-adressen van de jacuzzi’s bleek eenvoudig. Niet alleen kan een aanvaller zo de temperatuur bedienen en onnodig elektriciteit verspillen, het bubbelbad schakelt de blazers automatisch in wanneer iemand in de jacuzzi zit. Dit wordt weergegeven via de API. Een aanvaller kan zo zien wanneer iemand een bad aan het nemen is.

Pen Test Partners waarschuwde BWG voor de problemen, maar kreeg geen reactie. Pas nadat de BBC zich ermee bemoeide kwam het bedrijf met een verklaring. Het liet weten dat het opzettelijk voor een standaardwachtwoord en onbeveiligd wifi-netwerk had gekozen om het gebruiksgemak te vergroten. Munro heeft de details nu openbaar gemaakt omdat BWG het probleem eenvoudig kan verhelpen door de API uit de lucht te halen en gebruikers het advies te geven om hun jacuzzi van het internet af te sluiten.