Una aplicación de cámara web iOS y Android instalada por miles de usuarios dejó expuesta en línea su base de datos que contiene la información del cliente.
La base de datos ElasticSearch encontrada por el investigador de seguridad Justin Paine pertenecía a Adorcam, una aplicación de cámara web, que proporciona una conexión P2P para marcas de cámaras web IP como Zeeporte y Umino.
Según Paine, la base de datos expuesta contenía 124 millones de filas para los varios miles de usuarios, incluidas sus direcciones de correo electrónico, contraseñas con hash, nombre de la red WiFi, configuración de la cámara web, incluido el estado del micrófono, la ubicación geográfica del país, el número de serie de la cámara web y potencialmente imágenes capturadas por las cámaras web.
El investigador también descubrió que la información filtrada incluía detalles confidenciales sobre el servidor MQTT (un protocolo de mensajería estándar común para el servidor de Internet de las cosas (IoT)), como el nombre de host, el puerto, la contraseña y el nombre de usuario.
Paine verificó que la base de datos se estaba actualizando en vivo al registrarse con una nueva cuenta y buscar su información en la base de datos. El investigador se puso en contacto con Adorcam sobre el problema y se aseguró la base de datos.
Si estos datos cayeran en las manos equivocadas, podrían usarse para ataques de ingeniería social muy convincentes, campañas de phishing o ataques dirigidos contra usuarios en una región específica.
https://rainbowtabl.es/2021/02/11/adorcam-leaks-124-million-rows-data/
