Babyfoons met camera massaal 'gehackt': dit is er aan de hand

In dit artikel:

Een groot beveiligingslek bij Meari — een Chinees white‑labelbedrijf dat camera‑hardware levert aan veel merken — maakte zichtbaar hoe kwetsbaar veel babyfoons met camera zijn. Beveiligingsonderzoeker Sammy Azdoufal ontdekte via inspectie van de Meari‑app dat één set inloggegevens en gedeelde serverinstellingen toegang gaf tot ruim een miljoen op afstand bereikbare camera’s, verspreid over zo’n 118 landen. Deze camera’s worden vaak onder uiteenlopende merknamen verkocht op platforms als Bol en Amazon (voorbeelden: Arenti, Anran, Boifun, ieGeek, Qyze).

De technische oorzaak zat in het ontwerp: zowel camera als app communiceren via centrale MQTT‑servers en veel toestellen gebruikten losse, standaardwachtwoorden (zoals “admin”). Daardoor kon Azdoufal niet alleen live meekijken in talloze woningen, maar ook e‑mailadressen, geschatte locaties en tienduizenden foto’s vinden die onbeschermd op Alibaba‑servers stonden. Omdat gegevens publiek bereikbaar waren, was er nauwelijks sprake van een klassieke hack.

Na het melden van de kwetsbaarheden vond Azdoufal op een onbeveiligde Meari‑server bovendien een overzicht met inloggegevens en contactgegevens van honderden medewerkers. Meari nam vervolgens contact op, beloofde het lek te dichten door gebruikersnamen en wachtwoorden te wijzigen en adviseerde klanten firmware‑updates te installeren. Het bedrijf maakte echter geen duidelijk hoeveel apparaten precies kwetsbaar waren, of klanten adequaat geïnformeerd zijn, en of oude toestellen nog steeds risico lopen omdat ze geen updates meer krijgen.

De samenwerking heeft een nare bijsmaak: Azdoufal kreeg op 7 mei een beloning van 24.000 euro van Meari voor zijn vondsten, maar hij zegt dat Meari eerder dreigend reageerde en later probeerde te suggereren dat zij de problemen al eerder hadden ontdekt. Azdoufal stelt dat het originele systeem zo was ingericht dat verschillende merken elkaars camera’s konden benaderen door dezelfde servers en wachtwoorden te delen — een ernstige ontwerpfout.

Wat dit betekent voor ouders: goedkope, generieke cloudcamera’s kunnen privacy‑ en veiligheidsrisico’s bevatten, mede doordat verantwoordelijkheid bij fabrikant, appbouwer en verkoper ligt en updates versnipperd verlopen. Niet alle merken hebben klanten actief gewaarschuwd.

Praktische adviezen om risico’s te verminderen
- Verander meteen standaardwachtwoorden naar sterke, unieke wachtwoorden.
- Installeer firmware‑updates zodra ze beschikbaar zijn.
- Gebruik waar mogelijk apparaten met lokale opslag of on‑premise opties in plaats van onveilig cloudgebruik.
- Zet camera’s achter het gastnetwerk van je wifi of gebruik een VPN, en beperk app‑rechten.
- Kies bij aanschaf voor merken met transparante veiligheidsbeleid en regelmatige ondersteuning.

Kortom: het lek bij Meari toont dat veel babyfoons kwetsbaar zijn door gedeelde servers, standaardinstellingen en gebrekkige updates. Met relatief eenvoudige maatregelen kun je de privacy van je kind aanzienlijk beter beschermen.