Netatmo Smarte Innenkamera (Welcome) ließ in fremden Haushalt blicken
von André Westphal | 20 Kommentare
Sicherheitskameras sollen eigentlich helfen, euer Zuhause zu schützen. Dumm, wenn sie das Gegenteil bewirken und Dritte euch darüber gemütlich beobachten können. So ein Szenario hatte sich bei der Netatmo Smarte Innenkamera, ehemals auch als Modell „Welcome“ bekannt, ergeben. Ein Anwender erhielt unvermittelt Zugriff auf den Feed einer Sicherheitskamera einer ihm völlig fremden Familie.
Wie Heise berichtet, konnte man diese Situation in der Redaktion mit dem betroffenen Gerät verifizieren, denn der Fehler trat auch dann auf, wenn die Kamera zurückgesetzt und mit einem neuen Nutzerkonto betrieben worden ist. Offenbar wurden also in den Systemen von Netatmo zwei Kamera-Examplare irgendwie versehentlich verbandelt bzw. durcheinander gebracht. Dadurch mischten sich eigene und fremde Aufnahmen durcheinander.
Der Leser, der Heise das Gerät zur Verfügung gestellt und auf den Vorfall aufmerksam gemacht hatte, hatte auch direkt Netatmo kontaktiert. Doch auch Wochen nach dieser Kontaktaufnahme blieb der Zugriff, auf die ihm fremdem Aufnahmen bestehen. Netatmo gab sich dabei zudem gemächlich: Statt die Seriennummer etwa im System zu sperren und so den Zugriff auf den Kamera-Feed der fremden Familie zu blockieren, forderte man das betroffene Gerät zurück und ließ dabei noch zeitlichen Spielraum. Insgesamt hätte der genannte Leser so rund 2 Monate die fremde Familie ausspionieren können, wenn er gewollt hätte.
Schließlich konfrontierte Heise den Hersteller nochmals mit der Situation und erkundigte sich auch, ob es sich um einen Einzelfall handele oder weitere Geräte bzw. Konten betroffen seien. Auch wollte man wissen, ob die betroffene Familie über den Vorfall informiert worden sei. Netatmo antwortete darauf aber nur recht allgemein und betonte primär, dass man die Situation ernst nehme, ohne Details zum weiteren Vorgehen zu nennen.
Heise wirft Netatmo in der Berichterstattung vor, deutlich zu langsam gehandelt zu haben. Gerade da eine Familie mit Kindern betroffen gewesen ist, halte auch ich diese Kritik für berechtigt. Schließlich wäre es hier für den Leser wochenlang möglich gewesen, das Alltagsgeschehen der Familie zu überwachen. Wie das Ganze zustande gekommen ist? Netatmo gibt an, beiden Kameras, also der des Lesers und der Familie, sei versehentlich dieselbe Identifikationsnummer zugewiesen worden. Die Familie hätte also auch umgekehrt den Leser beobachten können, denn der Zugriff funktionierte in beide Richtungen.
Netatmo ist nach eigenen Angaben seiner Pflicht nachgekommen und hat den Vorfall als Datenschutzvorfall bewertet sowie der zuständigen Aufsichtsbehörde gemeldet. Ob es noch weitere solcher Verwechslungen gegeben hat, wissen wir unterdessen nicht. Bleibt zu hoffen, dass dies ein Einzelfall gewesen ist.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Es wirkt ja so, als ob wirklich nur Apple mit HomeKit das im Griff hätte.
Schreib kein Käse, keiner braucht Apple für eine Sicher CAM Lösung.
Die Cloud User sind selbst schuld. Einfach eine Lokale NAS und dort hin Streamen.
Cloud User möchten den Kram aber in der Cloud haben und von unterwegs darauf zugreifen können. Da ist ein lokales Streaming vom NAS keine Option. Und jetzt komm nicht mit so einem Gefrickel mit NAS-Zugriff via VPN & Co – das ist eine andere Zielgruppe.
Dann müssen diese User halt auch genau mit solchen Sicherheitslücken leben. Entweder Sicherheit oder Bequemlichkeit. Wer das bis heute nicht kapiert hat und nun wegen dieser Sicherheitslücke aufschreit, ist vollkommen naiv!
Zu sagen man muss mit diesen Sicherheitslücken leben ist doch eine Kapitulation. Das ist Käse. Es gibt durchaus funktionierende Konzepte. Derzeit springt halt jeder auf den Cloudzug auf und setzt das billigst möglich um
Wieso kommst du auf die Idee, dass man nicht auf das NAS von unterwegs zugreifen kann, ohne „den Kram“ in der Cloud zu haben.
Warum sollten die Daten in der Cloud liegen? Zählt Du selbst zu den Opfern, die sich anschließend wundern? Und ja, ist die NAS lokal eine Option. Und zwar die beste!
Denn da bestimme ausschließlich ich selber über diese sensiblen Daten. Und kein Anbieter mit Ausgesourcter IT und Helpdesk Center. Aber für Oberflächliche Menschen und faule User ist die Cloud eben die Lösung. Und das ist in heutigen Zeiten auch kein Gefrickel. Bekommt jeder Hauptschüler mit Boardmitteln der Fritzbox + entsprechende NAS oder auch ohne, Mit ein bissen FAQ lesen in den griff.
Wirklich Käse ist ja Opferschelte.
Das ist ja super schlau. Du hoffst dann also, dass die Einbrecher die deine Wohnung ausgeräumt haben, deine NAS dann bei sich nochmal anschließend damit du dir die Videos von ihrem Einbruch runterladen kannst?
Ich hab 12 Cams, und speichere die Video Streams und Foto Ereignisse mehrfach redudant, zum einen auf der SD Karte der Cam sowie auf einer NAS, die nicht im gleichen Gebäude ist, wo die Cams sind.
Somit müsste der EInbrechner alle Cams abschauben. Der Einbrecher sollte auch eine Leiter mitbringen, da diese Cams ohne Leiter dran kommen.
Oh ja! lokales NAS mit Kameraaufbahmen hilft ganz bestimmt, wenn es bei Einbruch mitgenommen wird. Einfach brilliant!
Ja, das ist leider der Preis für Cloud-Cam User… 😉
Viele kaufen sich eine IP-Cam, Scannen einen QR Code und freuen sich das ein Bild am Smartphone kommt.
Das diese Daten aber alle durch das Internet über die Cloud gehen, ist den meinsten gar nicht bewusst.
Die beste Lösung ist immer die Cams lokal im Netz zu betreiben, dann diesen Geräten zusätzlich noch das Internet per Firewall oder Router verbieten. Und den Stream nur direkt, oder über den VPN zum Heimnetz abrufen. 😉
Wem das im Jahr 2023 immer noch nicht bewusst ist, sollte am besten generell die Finger von Technikdingen lassen oder eventuell mal unter dem Stein hervorkommen.
Muss doch kein VPN sein. Das kann man durchaus auf Applikationsebene korrekt absichern. Gerade bei VPNs neigen User zur Sicherheitslücke und speichern ihr Passwort ab inkl Auto Login. Und dann ist das Tor offen. VPN kann ein Großes Einfallstor sein aus dem man super alle Daten raustragen kann. Aber wem das im Jahr 2023 immer noch nicht bewusst ist, sollte am besten generell die Finger von Technikdingen lassen oder eventuell mal unter dem Stein hervorkommen.
Na klar, jeder Anwender ist so gut mit IT vertraut.
@ masc
Recht hat Flori aber!! Mit den heutigen NAS und Fritz OS braucht es kein IT- Studium mehr um so eine Lösung zu bauen.
Mein Opa sagte immer, was du nicht selber machst, können andere nur falsch machen.
Solche Vorfälle kennt man auch von anderen Firmen.
Ich habe das Teil und nun am überlegen, sie zumindest vorübergehend abzuschalten. Wenn die Bilder in der Cloud landen, warum braucht man dann eine Micro SD Karte zur lokalen Speicherung?
Schlimm ist vor Allem dieses unqualifizierte Cloud-Bashing. Hier hat ja wohl nachweislich der Lösungs-Anbieter einen Fehler gemacht. Wir bieten für hunderte unserer Kunden Cloud-Lösungen aus sicherheitsrelevanten Bereichen an. Wer 2023 noch glaubt, eine Lösung sei automatisch unsicher, weil es eine Cloud Lösung ist, setzt meiner Meinung nach falsche Prioritäten.
Ne, nicht jede Cloud ist unsicher!
Aber man muss sich eben bewusst sein, das die hochgeladenen Daten in der Cloud nur so sicher sind,
wie die Systeme und Admins die das System betreuen.
Man überträgt die Verantwortung mit Nutzung der Cloud an den Cloudbetreiber.
Und hat selbst wenig möglichkeiten, wenn dort was schief läuft.
Was machen die Administratoren und Entwickler bei Netatmo eigentlich beruflich?