EnglishPortugueseSpanish

Miles de usuarios de Adorcam, una aplicación utilizada para controlar modelos de webcam, vieron su información personal expuesta después de un base de datos Elasticsearch, que pertenece a la empresa.  

Quien descubrió la vulnerabilidad fue Justin Paine, un investigador de seguridad, quien advirtió rápidamente a Adorcam sobre el problema. Para solucionarlo, la empresa privó de la base de datos.

publicidad

Aun así, el experto compartió que aunque era vulnerable, cibercriminales podría acceder a unos 120 millones de líneas de datos vinculadas a miles de usuarios.  

Entre la información había detalles sobre la cámara web, como la ubicación, si el micrófono estaba activo y el nombre de la red. Wi-Fi la cámara estaba conectada; además, había datos disponibles sobre el propietario del equipo, como la dirección de correo electrónico.  

La información indica que es posible que también se haya accedido a capturas de pantalla. Foto: Adorcam // Reproducción

Se encontró evidencia que indica que la cámara también estaba enviando fotos capturadas por la cámara web al nube solicitud. Sin embargo, Paine no pudo verificar este hallazgo, ya que los enlaces a los archivos habían expirado.  

Finalmente, el experto dice que encontró credenciales encriptadas en la base de datos para el servidor MQTT de la aplicación, un protocolo de mensajería que se usa a menudo en dispositivos conectados a Internet. Internet.  

A pesar del descubrimiento, Paine no probó las credenciales. Esto se debe a que, según la legislación de la Estados Unidos, esta práctica sería ilegal. Aun así, la empresa también fue informada sobre esto.  

Lo más intrigante de todo es que Paine descubrió que la base de datos se estaba actualizando en vivo. Para confirmarlo, creó una cuenta en los servicios de la empresa y buscó la información. Encontrarlos a continuación.  

Aunque la sensibilidad de los datos era limitada, Paine advierte que un pirata informático podría aprovechar la falla para crear una campaña de correo electrónico para suplantación de identidad de manera convincente para obtener información personal. La compañía aún tiene que comentar sobre lo sucedido. 

Vía: TechCrunch