Kleurcontrole Erasmusbrug was lange tijd vrij toegankelijk

Abonneer je gratis op Techzine!

Een webpagina die gebruikt kan worden om de kleur van de verlichting op de Erasmusbrug aan te passen, was meer dan een jaar vrij toegankelijk. Iedereen die het juiste ip-adres en poortnummer had, kon de kleur van de brug aanpassen.

Dit vermeldt RTL Nieuws, die de webpagina vond na een anonieme tip. De tipgever had de pagina gevonden via de website Shodan.io, een zoekmachine voor IoT-apparaten. Daar zocht hij op apparaten in Rotterdam en stuitte hij op het ip-adres van een inlogpagina voor de kleurcontrole. Deze inlogpagina bleek eenvoudig te omzeilen door het juiste poortnummer achter het ip-adres te zetten.

Scenario’s

Eenmaal ‘ingelogd’ verscheen een eenvoudig ogende website. Er stond een foto van de Erasmusbrug met daaronder enkele ‘scenario’s’. Deze scenario’s waren verschillende kleuren, zoals wit, rood, groen, oranje, blauw, geel en roze, maar ook kleurcombinaties die moeten staan voor verschillende vlaggen, een regenboog of voetbalclub Feyenoord. De sfeerverlichting kon ook worden uitgezet. De kleuren van de Hofpleinfontein, op een kruispunt een paar straten verderop, konden ook op een vergelijkbare manier worden aangepast.

Wanneer een kleur werd geselecteerd, paste de verlichting zich binnen een seconde aan. Andere opties dan het het aanpassen van de sfeerverlichting waren er niet. Er waren naast het aanpassen van de kleur dus geen ingrijpende veranderingen aan de brug mogelijk, zoals hem openen of het bedienen van de straatverlichting of stoplichten.

Lek gedicht

De gemeente Rotterdam reageert dat het systeem om de verlichting van de Erasmusbrug te bedienen halverwege 2019 aangepast was. Het was hierbij niet de bedoeling dat het systeem publiekelijk toegankelijk werd. De gemeente heeft het systeem tijdelijk uitgeschakeld, totdat het lek gedicht is.

Shodan

Veel IoT-apparaten zijn zonder fatsoenlijke beveiliging toegankelijk via het internet. De eigenaren vertrouwen hierbij vaak op security through obscurity, maar webcrawlers als Shodan weten die apparaten toch te vinden en delen ze op het internet.

Hier maken kwaadwillenden gretig gebruik van, zo bleek bijvoorbeeld toen iemand 50.000 printers had gehackt om berichten rond te sturen met een aanmoediging om vlogger PewDiePie te volgen op YouTube. Shodan was ook gebruikt om 2000 systemen te infecteren en cryptovaluta te delven.