Saskaņā ar Cybernews pētījumu, iespējams, tika atklāta tūkstošiem Virtavo drošības kameru lietotāju personiskā informācija. Tiem, kas nezina, Virtavo ir drošības kameru ražotājs. Uzņēmums piedāvā arī iOS lietotni video straumēšanai un atskaņošanai ar nosaukumu Home V. Tomēr ir konstatēts, ka lietotne no iPhone lietotājiem ievāc pārmērīgus personas datus un telemetrijas datus, kas rada bažas par privātumu un drošību.
Cybernews pētījumi atklāj atklātus datus no lietotnes
Cybernews komanda atklāja, ka lietotne Home V atvērtā serverī glabā 3 GB lietotāja informācijas. Tas ietvēra privātu informāciju, piemēram, tālruņu numurus un ierīču identifikatorus. Tā kā serveris nebija nodrošināts, tas ļāva ikvienam piekļūt šai informācijai.
Serverim bija vairāk nekā 8,7 miljoni ierakstu, no kuriem daudzi bija dublikāti, un daži unikāli ID tika parādīti vairākas reizes. Pētnieki lēš, ka tas varēja ietekmēt vairāk nekā 100 000 unikālo lietotāju. Šķiet, ka daudzi ietekmētie lietotāji ir no Ķīnas, taču serverī bija arī dati no lietotājiem visā pasaulē, radot papildu bažas par privātumu.
Sīkāka informācija par atklātajiem baļķiem
Atklātie žurnāli ietvēra informāciju par ierīci un programmatūru, piemēram, lietotnes versiju, ierīces modeli un programmaparatūras versiju. Žurnāli ietvēra arī tīkla informāciju, piemēram, IP adreses un savienojuma veidu. Tika apdraudēti arī lietotāju ID, tostarp tālruņu numuri, e-pasta adreses un citi unikālie identifikatori. Tika iekļauti arī veiktspējas rādītāji, piemēram, video atskaņošanas kvalitāte un Wi-Fi signāla stiprums. Turklāt žurnālos bija laikspiedoli, servera kodi un laika joslu dati.
Pētnieki norādīja, “Dati liecina, ka lietojumprogramma apkopo plašu informāciju, kas pārsniedz pamata funkcionalitātei nepieciešamo, radot bažas par datu samazināšanas principiem saskaņā ar datu aizsardzības likumiem.” Komanda atzīmēja, ka ļaunprātīgi dalībnieki to var izmantot identitātes zādzībām, nesankcionētai piekļuvei ierīcēm un uzraudzībai.
Iedarbības cēlonis
Tas notika tāpēc, ka uzņēmums savu Elasticsearch serveri (datu analīzi un meklētājprogrammu) atstāja neaizsargātu, ļaujot ikvienam piekļūt atklātajiem žurnāliem. Šie žurnāli uzrauga lietotņu veiktspēju un novērš problēmas. Serveris tiek atjaunināts reāllaikā, kas vēl vairāk pasliktina problēmu.
Cybernews informēja Virtavo 2024. gada 18. septembrī, bet CNCERT/CC (Ķīnas Nacionālā datortīklu ārkārtas reaģēšanas tehniskā komanda/koordinācijas centrs) — 2024. gada 9. oktobrī. Līdz 2024. gada 5. novembrim atklātais serveris tika slēgts. Tomēr nav apstiprinājuma, ka nesankcionētas trešās personas būtu piekļuvušas atklātajiem datiem, pirms tie tika nodrošināti.
