数千人のユーザーがインストールしたウェブカメラ アプリにより、ユーザー データが詰め込まれたデータベースがパスワードなしでインターネット上に無防備なまま残されました。
Elasticsearchデータベースは、ZeeporteやUminoカメラを含む複数のウェブカメラモデルの表示と制御を行うアプリ「Adorcam」のものでした。セキュリティ研究者のジャスティン・ペイン氏がデータ漏洩を発見し、Adorcamに連絡を取り、データベースのセキュリティを確保しました。
ペイン氏は、TechCrunchに共有したブログ記事の中で、データベースには数千人のユーザーに関する約1億2400万行のデータが含まれており、ウェブカメラの所在地、マイクのオン/オフ、カメラが接続されているWiFiネットワーク名などのウェブカメラの詳細情報や、メールアドレスなどのウェブカメラ所有者の情報も含まれていると述べた。
ペイン氏はまた、ウェブカメラで撮影した静止画をアプリのクラウドにアップロードしていた証拠も発見したが、リンクの有効期限が切れていたため確認できなかった。
また、ペイン氏は、アプリのMQTTサーバーのデータベースに、インターネット接続デバイスでよく使用される軽量メッセージングプロトコルであるMQTTサーバーの認証情報がハードコードされていることを発見しました。ペイン氏は認証情報をテストしませんでした(米国では違法となるため)。しかし、アプリ開発者に脆弱性を報告し、開発者はパスワードを変更しました。
ペイン氏は、新規アカウントを登録し、データベース内で自分の情報を検索することで、データベースがリアルタイムで更新されていることを確認した。データの機密性は限定されていたものの、悪意のあるハッカーが巧妙なフィッシングメールを作成したり、情報を恐喝に利用したりする可能性があると警告した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Adorcam 社は、この事件についてユーザーに通知する予定があるかどうかなど、私たちの電子メールへの質問に返信しませんでした。
解読:ハッカーがフロリダの町の水道に毒を盛ろうとした
トピック
祖先、コンピューティング、データベース、 Elasticsearch 、 Instagram 、モバイルソフトウェア、セキュリティ、 SMS 、ソフトウェア、電話会議、米国、ウェブカメラ
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
