Großbritannien: Kindergarten-Überwachungskameras wegen Datenleck abgeschaltet
Ein Überwachungssystem mit Kameras für Kindergärten gibt vertrauliche Daten preis und lässt jeden zuschauen. Die Firma lenkt ein. Doch schon 2015 gab es Lücken.
(Bild: TimmyTimTim/Shutterstock.com)
Ein Überwachungskamerasystem für Kindergärten in Großbritannien muss abgeschaltet werden, weil ein schweres Datenleck die Vertraulichkeit gefährdet. Eine Sicherheitslücke in dem NurseryCam genannten Überwachungssystem legt die Anmeldeinformationen der teilnehmenden Eltern offen. Zuerst berichtete das IT-Portal The Register darüber.
Passwörter im freien Zugriff
NurseryCam ist in etlichen Kindergärten in Großbritannien installiert und erlaubt Eltern, ihren Nachwuchs nach dem Absetzen dort aus der Ferne zu beobachten. Dazu nutzt es mehrere Kameras und einen digitalen Videorecorder (DVR). Zu diesem Zweck teilt die Firma hinter dem Überwachungssystem FootfallCam den Eltern Anmeldedaten mit. Doch eine schwere Sicherheitslücke in dem System hat dazu geführt, das sich offenbar beliebig Daten der elterlichen Konten auslesen ließen – darunter Nutzernamen, Passwort, Klarname und E-Mail-Adresse, berichtet The Register. Daraufhin hat das Unternehmen die Betroffenen informiert und seine Server zunächst abgeschaltet, bis das Problem behoben ist. Angeschlossen sind 40 Kindergärten in Großbritannien.
Eine nicht näher genannte Person habe die Firma NurseryCam auf die Sicherheitslücke aufmerksam gemacht und sie aufgefordert, die Sicherheit zu verbessern. Das Unternehmen teilte mit, die Person – offenbar ein gutgesinnter 'White-Hat'-Hacker – habe sich "verantwortungsbewusst" verhalten und offenbar keinen Schaden mit den Daten anrichten wollen. Darüber hinaus glaubt das Unternehmen, dass weder Kindergartenkinder noch das Personal unerlaubt beobachtet worden seien, nennt für diese Vermutung aber keine Anhaltspunkte. Das Abschalten der Server nennt die Firma eine Vorsichtsmaßnahme, meldet die BBC.
(Bild: NurseryCam / twitter.com)
Administratorzugriff für alle
Außerdem habe das Unternehmen die britische Datenschutz-Aufsichtsbehörde (Information Commissioner's Office, ICO) über den Vorfall informiert. Firmen in Großbritannien sind verpflichtet, Datenschutzverletzungen von "erheblicher Auswirkung" binnen 24 Stunden an das ICO zu melden. NurseryCam selbst sei am Freitag von der Sicherheitslücke in Kenntnis gesetzt worden.
Wie The Register jedoch weiter schreibt, ist die Sicherheit des Kamerasystems schon vorher auffällig gewesen. Über die zugehörige Mobil-App habe sich jeder Administratorzugriff verschaffen und damit die Anmeldung als Nutzer umgehen können. Darauf soll das Unternehmen schon 2015 hingewiesen worden sein, es habe die Entdeckung jedoch heruntergespielt und diese Lücke erst später geschlossen.
Der IT-Security-Spezialist Andrew Tierney (auch bekannt als "Cybergibbons") wurde ebenfalls auf die Sicherheitslücke bei NurseryCam aufmerksam und nahm auch Kontakt zum Entdecker der Lücke auf. Er veröffentlichte eine Warnung an alle, die das System nutzen, und beschreibt darin detailliert die Funktionsweise und die Schwächen des Systems (und geht auch auf die Lücke von 2015 ein).
(tiw)