Traditionele apparaten en het Internet of Things, het gaat nogal eens mis. De laatste waarbij de verbinding met het internet niet heel veilig blijkt te zijn, is een professionele ‘vaatwasser’ van Miele. Het bedrijf gaf het apparaat, dat bedoeld een webserver en die is niet veilig, schrijft The Register.
Het gaat om de Miele Professional PG 8528. Probleem is dat de webserver zo opgezet is dat een ongeïdentificeerde aanvaller met gemak een bug kan misbruiken om gevoelige informatie te ontdekken. Die informatie kan vervolgens weer gebruikt worden in latere aanvallen.
Het gaat om een zogenaamde traversal-aanval. Bij dit soort aanvallen kunnen hackers in andere mappen komen dan die de webserver nodig heeft. Zodra ze in die mappen zitten, kunnen ze hun eigen code toevoegen en tegen de webserver zeggen dat die het moet uitvoeren. Op dit manier kan je vaatwasser bijvoorbeeld door criminelen worden gebruikt in DDoS-aanvallen.
Hoe lang gaat dit duren?
Probleem is dat het niet helemaal duidelijk is hoe deze bug op te lossen is, omdat niet alle informatie over de webserver beschikbaar is. Voorlopig is het dus beter om het apparaat helemaal van het internet af te halen. Nadeel is echter dat Miele geen IT-bedrijf is, dus geen proces heeft om bugs te melden of te repareren. Het is dus maar de vraag hoe lang dit gaat duren.
Miele zelf wordt ondertussen beschuldigd van het negeren van een waarschuwing voor dit beveiligingsprobleem. Jens Regel van het Duitse bedrijf Schneider-Wulf ontdekte de bug namelijk al in november 2016 en meldde het toen bij het bedrijf. Hij zegt echter dat Miele nooit gereageerd heeft. Inmiddels heeft Regel de bug dus openbaar gemaakt.
Dit artikel is na publicatie bijgewerkt omdat we eerder de indruk wekten dat het om een huishoudelijke vaatwasser ging. Zoals Tweakers terecht opmerkt, gaat het om professionele apparatuur voor in medische instellingen.