Von unterwegs prüfen, ob zu Hause alles in Ordnung ist, das klappt mithilfe von smarten Sicherheitskameras, die per WLAN das Bild in die Cloud streamen. Was aber, wenn der Feed in der zugehörigen App auf dem Smartphone plötzlich eine ganz andere Wohnung zeigt? Das passierte einem Leser mit der Kamera Netatmo Welcome, wie Heise berichtet.
Fremde Menschen im eigenen Feed
Demnach hatte der Leser die Kamera nach einer Störung neu eingerichtet. Weil sie sich nicht zum bestehenden Haushalt hinzufügen ließ, erstellte er einen neuen. Danach funktioniert die Welcome auch wieder ordnungsgemäß. Neben Bildern aus der eigenen Küche sah der Nutzer aber auch Material mit ihm fremden Personen aus einem anderen Haushalt. Der Mann alarmierte daraufhin den Support, weil er ein größeres Problem vermutete. Als der nicht reagierte, reichte er das Gerät bei der Redaktion der Zeitschrift c’t ein.
Auch die Tester konnten den Vorfall nachvollziehen und bekamen ihrerseits fremdes Material in der App angezeigt, das aus Bildern, Videos und Tonaufnahmen bestand. Die Gesichtserkennung übermittelte ebenfalls Daten. Besonders brisant: Zwar bot Netatmo dem Mann einen Austausch an und forderte die fragliche Kamera zurück, gab dem Nutzer aber zwei Monate Zeit, um das Gerät zurückzusenden.
Die Seriennummer hatte das Unternehmen ebenfalls nicht gesperrt. Die c’t-Redaktion prüfte das vor Rückgabe der Kamera nach. Im schlimmsten Fall hätte der ehrliche Nutzer die Familie also zwei Monate lang ohne Probleme beobachten können. Erst nach einer Anfrage von der c’t-Redaktion forderte Netatmo die Kamera umgehend zurück. Zwar bestätigte das Unternehmen den Sicherheitsvorfall, ließ Fragen zur Behebung des Fehlers aber zunächst unbeantwortet.
Der Hintergrund zum Fehler
Mittlerweile hat das Unternehmen erkannt, worin der Fehler bestand. Demnach hätten die beiden Kameras dieselbe Identifikationsnummer zugeteilt bekommen. Ein großflächiges Problem bestehe also nicht. Laut Bericht funktionierte der Zugriff allerdings in beide Richtungen. Auch die andere Seite hätte den Feed des c’t-Lesers einsehen können. Gegenüber dem Nutzer gab das Unternehmen zudem an, den Vorfall als Datenschutzvorfall eingestuft und an die Aufsichtsbehörde gemeldet zu haben.
