Une application webcam a laissé des milliers de comptes d’utilisateurs exposés en ligne

Une application webcam a laissé des milliers de comptes d’utilisateurs exposés en ligne

Une application webcam installée par des milliers d’utilisateurs a laissé une base de données exposée remplie de données utilisateur sur Internet sans mot de passe.

La base de données Elasticsearch appartenait à Adorcam , une application permettant de visualiser et de contrôler plusieurs modèles de webcam, notamment les caméras Zeeporte et Umino. Le chercheur en sécurité Justin Paine a découvert l’exposition des données et a contacté Adorcam, qui a sécurisé la base de données.

Paine a déclaré dans un article de blog partagé avec TechCrunch que la base de données contenait environ 124 millions de lignes de données pour plusieurs milliers d’utilisateurs, et incluait des détails en direct sur la webcam – tels que son emplacement, si le microphone était actif et le nom du réseau WiFi qui la caméra est connectée à – et des informations sur le propriétaire de la webcam, telles que les adresses e-mail.

Paine a également trouvé des preuves que la caméra téléchargeait des images fixes capturées de la webcam vers le cloud de l’application, bien qu’il ne puisse pas vérifier car les liens avaient expiré.

Il a également trouvé des informations d’identification codées en dur dans la base de données du serveur MQTT de l’application, un protocole de messagerie léger souvent utilisé dans les appareils connectés à Internet. Paine n’a pas testé les informations d’identification (car cela serait illégal aux États-Unis), mais a également alerté le créateur de l’application de la vulnérabilité, qui a ensuite changé le mot de passe.

Paine a vérifié que la base de données était mise à jour en direct en s’inscrivant avec un nouveau compte et en recherchant ses informations dans la base de données. Bien que la sensibilité des données soit limitée, Paine a averti qu’un pirate informatique malveillant pouvait créer des e-mails de phishing convaincants ou utiliser les informations à des fins d’extorsion.

Adorcam n’a pas renvoyé nos e-mails avec des questions – y compris si l’entreprise prévoyait d’informer les utilisateurs de l’incident.

Source : TechCrunch

Articles Similaires

Toyota va commercialiser 3 nouveaux véhicules électrifiés aux États-Unis

Toyota va commercialiser 3 nouveaux véhicules électrifiés aux États-Unis