Een datalek bij de ‘slimme’ camera’s van merken Apexis en Sumpple treft 14.000 exemplaren in Nederland, meldde onder meer Tweakers en RTL. De database van de fabrikant waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken bij willekeurige camera’s. Bepaald pijnlijk, laakbaar en juridisch zonder meer een datalek (en ja dat valt onder de AVG ondanks de Chinese vestigingsplaats), maar het riep ook de vraag op of je met die camera dan terug kan, het ding is immers niet conform de gewekte veiligheidsverwachtingen. Daar heb ik toch enige twijfels over.
RTL legt uit wat er misgegaan is:
Apexis, het moederbedrijf van Sumpple, bewaart de e-mailadressen en wachtwoorden van gebruikers in een [via internet toegankelijke] database. Het wachtwoord voor deze database is zo belabberd dat hij voorkomt in de lijst met slechtste wachtwoorden ooit. Het is daardoor voor kwaadwillenden kinderlijk eenvoudig om toegang te krijgen tot deze zeer gevoelige gegevens.
Dan kun je nog zo’n sterk wachtwoord kiezen, als een fabrikant dat zonder enige noemenswaardige beveiliging in een database noteert dan heb je natuurlijk alsnog nul beveiliging. En door de koppeling met emailadres is het dan leuk zoeken voor een aanvaller.
Die dienst is dus zo lek als een mandje, en ik zou er zeker voor zijn als de Europese importeur van deze gluurcamera’s een forse boete van de AP of bevoegde buitenlandse collega krijgt. Het is immers een datalek met impact, en omdat er structureel gegevens van Europeanen in die database gaat valt dat onder de Europese AVG ook al staat de server in China.
Mijn twijfel over of de camera ook nonconform is (in de zin dat je nu terug mag en herstel of vervanging eisen, art. 7:17 BW) is dat de camera zelf volgens mij niet slecht ontworpen of geprogrammeerd is. De fout zit in de dienst waarmee de camera via internet met de app communiceert, of beter gezegd met een daarbij behorende database. Betekent dat dat het apparaat zelf ook fout is? In het algemeen denk ik van niet, mijn televisie is ook niet ineens nonconform nu Ziggo het analoge TV signaal heeft gestaakt. Maar misschien hier toch wel, omdat apparaat en dienst onlosmakelijk met elkaar verbonden zijn. Maar ik blijf ermee worstelen, het voelt niet logisch om fouten in dienstverlening als nonconformiteit van een daarbij benodigd product aan te merken.
De Nederlandse overheid werkt samen met de Europese Commissie aan een keurmerk voor slimme apparaten, lees ik dan nog bij RTL. Dat komt er pas in 2021 en mij is nog steeds niet duidelijk wanneer iets a) een slim apparaat is en b) hoe dat keurmerk datalekken gaat voorkomen. Zit er een voorafgaande screening en analyse door TNO aan vast?
Arnoud
