Ένα webcam app που έχει γίνει download κι εγκατασταθεί από χιλιάδες χρήστες, άφησε εκτεθειμένο στο Διαδίκτυο, χωρίς κωδικό πρόσβασης, ένα database που είναι γεμάτο με data χρηστών. Το Elasticsearch database ανήκε στο Adorcam, ένα app για την προβολή και τον έλεγχο αρκετών webcam μοντέλων, συμπεριλαμβανομένων των καμερών Zeeporte και Umino. Ο ερευνητής ασφαλείας Justin Paine ανακάλυψε την έκθεση δεδομένων και επικοινώνησε με την Adorcam, η οποία ασφάλισε το database.
Ο Paine ανέφερε σε ένα blog post που μοιράστηκε με το TechCrunch, ότι το database περιείχε περίπου 124 εκατομμύρια σειρές data χιλιάδων χρηστών, καθώς και «live» πληροφορίες σχετικά με το webcam – όπως η τοποθεσία του, εάν το μικρόφωνο ήταν ενεργό, καθώς και το όνομα του δικτύου Wi-Fi στο οποίο ήταν συνδεδεμένη η κάμερα. Ακόμα πιο σημαντικό είναι το γεγονός ότι μπορούσε να αποκτηθεί πρόσβαση και σε πληροφορίες που αφορούν τον κάτοχο του webcam, όπως διευθύνσεις email.
Επιπλέον, ο Paine βρήκε αποδεικτικά στοιχεία για τη μεταφόρτωση φωτογραφιών που τραβήχτηκαν από την κάμερα στο cloud του app, χωρίς ωστόσο να μπορεί να τα επαληθεύσει, από τη στιγμή που οι σύνδεσμοι είχαν λήξει.
Ακόμη, ανακάλυψε hardcoded credentials στο database για τον MQTT server του app, ένα «ελαφρύ» πρωτόκολλο ανταλλαγής μηνυμάτων που χρησιμοποιείται συχνά σε συσκευές που είναι συνδεδεμένες στο Διαδίκτυο. Ο Paine δεν “έλεγξε” τα credentials, δεδομένου ότι κάτι τέτοιο θα ήταν παράνομο στις ΗΠΑ. Ωστόσο, προειδοποίησε τον κατασκευαστή του app για την ευπάθεια, ο οποίος στη συνέχεια άλλαξε τον κωδικό πρόσβασης.
Όπως αναφέρει το TechCrunch, ο Paine επαλήθευσε ότι το database ενημερώθηκε, live, κάνοντας εγγραφή με νέο λογαριασμό και αναζητώντας τις πληροφορίες του στο database. Αν και τα δεδομένα ήταν περιορισμένα ως προς την «ευαισθησία», ο Paine προειδοποίησε ότι ένας κακόβουλος χάκερ θα μπορούσε να δημιουργήσει πειστικά phishing emails ή να χρησιμοποιήσει τις πληροφορίες, για να εκβιάσει χρήστες.
Η Adorcam δεν έχει κάνει μέχρι στιγμής κάποια επίσημη δήλωση σχετικά με το θέμα.
