Un buco di sicurezza nei sistemi di videosorveglianza privati di TrendNet permette a chiunque di spiare attraverso le telecamere installate nelle abitazioni. Centinaia di collegamenti pubblicati sul Web. La società produttrice cerca ora di correre ai ripari.
L’ossessione per la sicurezza e la tutela della privacy possono giocare brutti scherzi. È quello che è successo a qualche migliaio di clienti di TrendNet, una società che produce e distribuisce sistemi di sicurezza basati sulla video-sorveglianza via Internet. Il caso ha del surreale: il segnale video delle telecamere è accessibile da Internet senza alcuna protezione e chiunque può spiare gli appartamenti “sorvegliati” dai sistemi TrendNet.
Il produttore non ha ancora chiarito quali siano le cause del baco, ma il risultato è piuttosto evidente. Per collegarsi alle videocamere e guardare in streaming tutto quello che succede nelle abitazioni è sufficiente collegarsi all’URL composta dall’indirizzo IP del dispositivo seguito da un suffisso di 15 caratteri uguale per tutte le videocamere. Questo, in pratica, dà accesso a una sorta di backdoor che permette di aggirare la richiesta di user name e password per la visualizzazione dello streaming. Il buco di sicurezza è stato descritto in tutti i dettagli il 10 gennaio scorso sul blog Console-Cowboys, nel quale è riportata anche la procedura per l’individuazione dei dispositivi attraverso Shodan, un motore di ricerca a pagamento specializzato nella localizzazione di dispositivi online.
Nel giro di poche ore, numerosi siti Web sono stati inondati di collegamenti diretti alle videocamere, permettendo a migliaia di persone di spiare nelle case di chi aveva installato i sistemi di sorveglianza. Sul sito del produttore, la vicenda è riportata in un laconico comunicato (datato 7 febbraio) in cui TrendNet annuncia il rilascio di una nuova versione del firmware che dovrebbe tappare la falla. Visto però che non è possibile “forzare” l’aggiornamento da remoto, la soluzione del problema è delegata ai singoli clienti, che dovranno installare il nuovo software di controllo. Resta da vedere quali saranno le reazioni dei clienti di TrendNet, sottoposti a una pesantissima violazione della privacy per quasi un mese.