EnglishPortugueseSpanish

Milhares de usuários do Adorcam, um aplicativo utilizado para controlar modelos de webcam, tiveram suas informações pessoais expostas após um vazamento do banco de dados Elasticsearch, que pertence à empresa.  

Quem descobriu a vulnerabilidade foi Justin Paine, pesquisador de segurança, que prontamente avisou a Adorcam sobre o problema. Para resolvê-lo, a empresa privou o banco de dados.

publicidade

Mesmo assim, o especialista compartilhou que, enquanto estava vulnerável, cibercriminosos poderiam acessar cerca de 120 milhões de linhas de dados ligadas a milhares de usuários.  

Dentre as informações, estavam detalhes sobre a webcam, como localização, se o microfone estava ativo e o nome da rede Wi-Fi em que a câmera estava conectada – além disso, dados sobre o proprietário do equipamento, como endereço de e-mail, estavam disponíveis.  

Informações indicam que capturas de tela também podem ter sido acessadas. Foto: Adorcam//Reprodução

Foram encontradas evidências indicando que a câmera também estava enviando fotos capturadas pela webcam para a nuvem do aplicativo. No entanto, Paine não conseguiu verificar essa descoberta, já que os links para os arquivos haviam expirado.  

Por fim, o especialista afirma que encontrou credenciais codificadas no banco de dados para o servidor MQTT do aplicativo, um protocolo de mensagens frequentemente usado em dispositivos conectados à internet.  

Apesar da descoberta, Paine não testou o funcionamento das credenciais. Isso porque, de acordo com a legislação dos Estados Unidos, essa prática seria ilegal. Mesmo assim, a empresa também foi informada sobre isso.  

O mais intrigante de tudo isso é que Paine verificou que o banco de dados estava sendo atualizado ao vivo. Para confirmar isso, ele criou uma conta nos serviços da empresa e pesquisou pelas informações. Encontrando-as em seguida.  

Embora a sensibilidade dos dados fosse limitada, Paine alerta que algum hacker poderia se aproveitar da falha para criar uma campanha de e-mails de phishing de forma convincente para conseguir informações pessoais. A empresa ainda não se pronunciou sobre o ocorrido. 

Via: TechCrunch