De Zuid-Koreaanse politie onderzoekt een grootschalige hack van slimme huiscamera’s. Opnames en mogelijk livebeelden zijn buitgemaakt en doorverkocht via een buitenlandse website. Het incident kwam deze week aan het licht na meldingen van gedupeerde huishoudens. De vermoedelijke drijfveer is financieel gewin door het verkopen van privébeelden.
Beelden te koop gezet
Hackers hebben toegang gekregen tot particuliere IP‑camera’s in Zuid-Korea. Vervolgens zijn videoclips en mogelijk livefeeds gebundeld en online te koop aangeboden. De gebruikte site staat buiten de directe jurisdictie van de Zuid-Koreaanse autoriteiten. Daardoor is het verwijderen van materiaal en het identificeren van beheerders extra lastig.
Onderzoekers spreken van een georganiseerd verdienmodel met pakketten per regio of woningtype. Er zouden ook zoekfuncties zijn gebruikt om kamers, gezinnen of tijdstippen te filteren. Zulke functies maken gerichte inbreuken op de persoonlijke levenssfeer eenvoudiger. Dat vergroot de schade voor de betrokken gezinnen.
De politie richt zich op het achterhalen van de aanvalsmethode, de geldstromen en de servers achter het platform. Daarbij wordt ook gekeken of er sprake is van datadoorverkoop aan meerdere partijen. Internationale rechtshulp kan nodig zijn om gegevens van hostingproviders op te vragen. Het onderzoek loopt op het moment van schrijven nog.
Een IP‑camera is een huiscamera die via internet verbinding maakt en beelden opslaat of streamt via een app of cloud.
Zwakke beveiliging blootgelegd
De eerste signalen wijzen op misbruik van zwakke of standaardwachtwoorden. Ook kunnen onbeveiligde cloudaccounts en hergebruikte inloggegevens een rol hebben gespeeld. Zulke fouten zijn bekend bij goedkope of slecht onderhouden apparaten. Ze komen ook voor als gebruikers de standaardinstellingen niet aanpassen.
Technisch worden vaak geautomatiseerde scans ingezet om openstaande poorten of kwetsbare firmware te vinden. Firmware is de basissoftware van het apparaat. Verouderde firmware kan bekende lekken bevatten die publiek gedocumenteerd zijn. Criminelen combineren die kennis met bots om massaal in te breken.
Daarnaast vergroten functies als port‑forwarding en universele plug‑and‑play het risico als ze niet goed zijn ingesteld. Deze functies maken apparaten van buitenaf bereikbaar. Dat is handig voor toegang, maar gevaarlijk zonder sterke authenticatie. Tweestapsverificatie en unieke, lange wachtwoorden beperken dit risico aanzienlijk.
Europese regels geven houvast
In Europa geldt de Algemene verordening gegevensbescherming (AVG) voor partijen die persoonsgegevens verwerken. Beelden van huiscamera’s zijn persoonsgegevens als personen herkenbaar zijn. Artikel 32 AVG verplicht passende beveiliging, zoals versleuteling en sterke toegang. Bij nalatigheid kunnen toezichthouders boetes opleggen en maatregelen eisen.
De Digital Services Act (DSA) verplicht platforms in de EU om illegale content snel aan te pakken. Verkoop van gestolen privébeelden valt daaronder. Europese hostingpartijen moeten meldingen afhandelen en aantoonbaar optreden. Dat maakt het lastiger om dit soort handel binnen de EU voort te zetten.
Voor fabrikanten komt extra druk via de Europese Cyber Resilience Act. Die wet legt beveiligingseisen op aan verbonden producten, zoals camera’s, gedurende de hele levenscyclus. Denk aan risicobeoordelingen, updates en veilige standaardinstellingen. Deze verplichtingen gaan de komende jaren stapsgewijs gelden in de EU.
Gevolgen voor Nederlandse gebruikers
Nederlandse huishoudens gebruiken veel slimme camera’s van merken als Ring, Google Nest, Eufy en TP‑Link. Ook hier dreigt risico bij zwakke wachtwoorden, open poorten of oude firmware. Wie cloudopslag gebruikt, is afhankelijk van de beveiliging van de aanbieder. Controleer daarom altijd welke data worden opgeslagen en hoe ze versleuteld zijn.
De Autoriteit Persoonsgegevens benadrukt dat organisaties onder de AVG dataminimalisatie moeten toepassen. Dat betekent: niet meer data vastleggen dan nodig is. Voor consumenten is het verstandig om opnametijden te beperken en privacyzones in te stellen. Zo verklein je de hoeveelheid gevoelige beelden die kunnen uitlekken.
Bij een vermoeden van inbraak is snel handelen cruciaal. Wijzig direct alle wachtwoorden en schakel tweestapsverificatie in. Update de firmware via de officiële app van de fabrikant. Overweeg om externe toegang tijdelijk uit te zetten totdat de oorzaak duidelijk is.
Fabrikanten moeten doorpakken
De sector belooft al jaren “security by default”, maar de praktijk loopt achter. Veel camera’s worden nog steeds geleverd met voorspelbare wachtwoorden of onduidelijke cloudinstellingen. Ook ontbreekt soms een heldere updatekalender of einddatum voor ondersteuning. Consumenten weten daardoor niet hoelang hun apparaat veilig blijft.
Europese normen zoals ETSI EN 303 645 bieden een minimum aan beveiligingsmaatregelen. Die vragen onder meer unieke standaardwachtwoorden, een bug bounty‑proces en een duidelijk updatebeleid. Fabrikanten die dit al toepassen, beperken massale misbruikscans aanzienlijk. Het scheelt bovendien in supportkosten en reputatieschade.
Met de Cyber Resilience Act worden deze normen niet langer vrijblijvend. Niet‑naleving kan leiden tot terugroepacties of boetes. Dat zet druk op de keten, van chip tot cloudplatform. Op termijn profiteert de gebruiker van stabielere updates en transparantere beveiliging.
Onderzoek loopt internationaal
Omdat het verkooppunt buiten Zuid-Korea staat, is grensoverschrijdende samenwerking nodig. Politiediensten wisselen data uit via rechtshulpverzoeken aan providers en betaalplatforms. Ook Europol kan ondersteunen als servers of geldstromen de EU raken. Dat vergroot de kans om infrastructuur offline te halen.
Voor platforms binnen de EU biedt de DSA een juridisch kader om sneller in te grijpen. Diensten moeten duidelijke meldpunten hebben en herhaald misbruik aanpakken. Advertentie- en betaalnetwerken kunnen accounts blokkeren die illegale handel faciliteren. Zo wordt het verdienmodel van datadieven onder druk gezet.
Intussen blijft de prioriteit het beschermen van huidige gebruikers. Snelle notificatie van slachtoffers en het intrekken van gestolen toegangstokens helpen daarbij. Transparante communicatie van fabrikanten beperkt paniek en maakt herstel stappen duidelijk. Het onderzoek en de mitigatie gaan op het moment van schrijven door.