Bericht 1
Talloze pelletkachels en thermostaten kwetsbaar voor hackers: hoe onze redactie al maanden op meer dan duizend plekken de verwarming kan aanzetten
Onze redactie bracht vorig jaar al samen met een ethisch hacker een bedrijf op de hoogte van een kwetsbaarheid waardoor 1.500 pelletkachels en thermostaten zomaar vanop afstand bediend kunnen worden. Maar na verschillende e-mails en telefonisch contact blijft het muisstil aan de andere kant. Wat is er precies aan de hand en ben jij ook kwetsbaar?
Kenneth Dee 22-10-23, 11:00 Laatste update: 22-10-23, 12:31
In oktober 2022 contacteert IT’er en ethisch hacker Christophe Vanleeuw onze redactie. Hij heeft een lek ontdekt in het systeem van zijn pelletkachel. Eigenlijk toevallig: “Via de app van de fabrikant van mijn toestel kan je de temperatuur instellen. Maar ik wou dat voor bepaalde tijdstippen doen. Bijvoorbeeld automatisch aanzetten ‘s morgens of ‘s avonds als het koud is.”
De app van de fabrikant laat dat niet toe, en zoals heel veel techneuten zouden doen, gaat Vanleeuw op zoek naar een omwegje: “Ik heb de Android-app gedownload en ben daar wat in gaan grasduinen in de hoop iets te vinden waardoor ik die functie zelf kan bouwen. In de code van die app vond ik plots een gebruikersnaam en wachtwoord, wat heel vreemd is.”
Slecht geprogrammeerd
Normaal worden in de code van apps nooit zomaar wachtwoorden gestopt die je kan aflezen, omdat zoiets het hackers heel gemakkelijk maakt. Het blijkt na een test te gaan om inloggegevens van de systemen van de fabrikant van de thermostaat op de kachel, Brahma. Die vind je bijvoorbeeld op sommige populaire modellen van kachelmerk TMC. Meteen gaan alle alarmbellen af. De kans bestaat dat met die gegevens de volledige vloot kachels en systemen die met de technologie van dat bedrijf werken kwetsbaar is.
Eén van de apps van het bedrijf maakt in elk geval ook visueel al weinig indruk.
HLN
Uiteindelijk blijkt de informatie ook toegang te geven tot de logingegevens van heel wat andere systemen van de fabrikant. Die slaat dat allemaal open en bloot (onversleuteld) op. Met andere woorden: met één wachtwoord kan je de login achterhalen van heel wat toestellen van het bedrijf. En die ook bedienen, in theorie.
Gemeld
Onze redactie heeft de Italiaanse fabrikant het afgelopen jaar op verschillende manieren gecontacteerd. Zo hebben we e-mails gestuurd via de officiële adressen. Daarop kwam geen enkel antwoord. We hebben ook telefonisch contact opgenomen met het bedrijf en kregen de belofte dat men ons op de hoogte zou houden, en onze e-mails zou bekijken. Maar sindsdien is het stil.
Een tweede probleem is dat op de webserver van Brahma onversleutelde wachtwoorden en andere informatie van gebruikers staan.
Intussen zijn we een jaar verder en zijn al die toestellen nog steeds kwetsbaar. Meer nog: regelmatig worden extra toestellen geactiveerd. Over heel Europa. We hebben de fabrikant een laatste keer gecontacteerd in juni en ook daarop kwam geen reactie.
Gegevens op straat
Een tweede probleem is dat op de webserver van Brahma onversleutelde wachtwoorden en andere informatie van gebruikers staan. Dat hebben derden ons gemeld. Denk aan gebruikersnamen. Dat betekent dat het een koud kunstje is om kachels te koppelen aan accounts op sociale media en woonplaatsen.
Maar het bedrijf slaat ook gegevens van werknemers op, opnieuw zonder beveiliging. Op dezelfde webservers als de klantengegevens staat vermoedelijk het badgesysteem van het bedrijf, en de identificatienummers die aan werknemers gekoppeld kunnen worden.
Gegevens die gelekt zijn bij het bedrijf, koppel je zonder veel problemen aan iemand die er bijvoorbeeld werkt.
HLN
Wat moet je doen als je thuis een thermostaat van Brahma gebruikt?
Heb je thuis een pelletkachel die een thermostaat/controller van het Italiaanse merk gebruikt, schakel de internettoegang daarvan volledig uit. Zodra jouw kachel verbonden is met je wifi, kunnen hackers die immers misbruiken. Er is op dit moment geen enkele andere technische oplossing, helaas, om heel wat van de toestellen veilig te gebruiken.
In theorie zou Brahma een update kunnen uitvoeren, maar het is ons niet duidelijk of dat zelfs voorzien is. Het valt ons op dat de kwetsbare systemen nog altijd op de markt worden aangeboden. Koop dus in geen geval een nieuw toestel dat met wifi-geconnecteerde thermostaten van Brahma werkt.
CCB: nood aan Europese maatregelen
Het Centrum voor Cybersecurity België zegt dat kwetsbaarheden bij slimme toestellen vaak voorkomen: “De meeste van die toestellen voldoen niet aan de basisveiligheidsvereisten”, zegt Miguel De Bruycker, Directeur-generaal van het Centrum voor Cybersecurity België. “Er is internationaal steeds meer aandacht voor het probleem, omdat er nu eenmaal meer slimme toestellen op de markt komen en verkocht worden.”
Dat deze kachels en andere gelijkaardige toestellen niet enkel in één land maar bijvoorbeeld in heel Europa of zelfs de hele wereld verkocht worden, zorgt voor bijkomende problemen: “Richtlijnen of regels op het niveau van ons land zijn daarom niet echt wenselijk”, klinkt het. Het CCB heeft wel in Europa al gepleit voor de oprichting van een soort certificaat zodat consumenten weten of een toestel een basisniveau aan veiligheid biedt. Maar daarop is de Europese Commissie voorlopig niet ingegaan.
Heb je slimme toestellen in huis of wil je er kopen? Dan heeft het Centrum voor Cybersecurity deze tips voor je:
- Verander standaard wachtwoorden onmiddellijk
- Koop een toestel dat automatisch security updates installeert
- Indien er persoonlijke data verwerkt wordt, kies dan voor toestellen waar je deze data kan verwijderen of je toestemming kan intrekken.