Les créateurs d’une application utilisée pour contrôler plusieurs webcams différentes ont laissé une base de données Elasticsearch contenant des données utilisateur exposées sur Internet sans mot de passe.
La base de données appartient à l’application Adorcam qui est utilisée pour visualiser et contrôler les caméras IP P2P de Zeeporte et Umino. L’application elle-même a plus de 10000 téléchargements sur le Google Play Store ainsi que des critiques moins que favorables concernant ses fonctionnalités.
La découverte de la base de données exposée a été faite par le chercheur en sécurité Justin Paine qui a alerté Adorcam et la société l’a depuis sécurisée avec un mot de passe.
Dans un article de blog détaillant sa découverte, Paine a expliqué que la base de données contenait environ 124 millions de lignes de données sur plusieurs milliers d’utilisateurs de l’application. En plus des informations personnelles sur les propriétaires de webcams telles que leurs adresses e-mail, la base de données contenait également des détails en direct sur les webcams des utilisateurs, y compris leur emplacement, si le microphone était actif et le nom du réseau domestique auquel ces caméras étaient connectées.
Sommaire
Base de données exposée
Afin de vérifier que la base de données d’Adorcam était mise à jour en direct, Paine a créé un nouveau compte, recherché et finalement trouvé ses informations incluses avec d’autres utilisateurs de l’application.
Bien que les données contenues dans la base de données ne contiennent pas trop de détails sensibles sur les utilisateurs d’Adorcam, elles pourraient être utilisées par des cybercriminels pour créer des e-mails de phishing ou pour d’autres types d’extorsion en ligne.
Dans le même temps, Pain a découvert des preuves que des images fixes capturées à partir de sa webcam étaient en cours de téléchargement sur le cloud de l’application, mais il n’a malheureusement pas pu le vérifier car les liens étaient déjà expirés. Dans la base de données, il a également trouvé des informations d’identification codées en dur pour le serveur MQTT d’Adorcam. Bien que Paine n’ait pas testé ces informations d’identification car cela serait contraire à la loi américaine, il en a informé les créateurs de l’application qui ont ensuite changé le mot de passe du serveur pour empêcher d’autres personnes d’accéder à ses données.
Dans son rapport sur la question, Paine a souligné que les informations contenues dans la base de données faisaient la distinction entre les utilisateurs chinois d’Adorcam et ses utilisateurs en dehors de la Chine, en disant:
«Un détail intéressant à propos de cette base de données était que les informations sur les utilisateurs étaient réparties entre les utilisateurs chinois et les utilisateurs« étrangers ». Par exemple: request_adorcam_cn_user vs. tel que request_adorcam_abroad_user. Adorcam a presque certainement des obligations de divulgation de violation basées sur ce qui semblait être une base d’utilisateurs mondiale. S’ils avaient des utilisateurs au sein de l’UE, ils ont absolument une obligation. »
Via TechCrunch
