Milhares de usuários do Adorcam, um aplicativo
utilizado para controlar modelos de webcam
, tiveram suas informações pessoais expostas após um vazamento do banco de dados
Elasticsearch, que pertence à empresa.
Quem descobriu a vulnerabilidade foi Justin Paine, pesquisador de segurança, que prontamente avisou a Adorcam sobre o problema. Para resolvê-lo, a empresa privou o banco de dados.
Mesmo assim, o especialista compartilhou que, enquanto estava vulnerável, cibercriminosos poderiam acessar cerca de 120 milhões de linhas de dados ligadas a milhares de usuários.
Dentre as informações, estavam detalhes sobre a webcam, como localização, se o microfone estava ativo e o nome da rede Wi-Fi em que a câmera estava conectada – além disso, dados sobre o proprietário do equipamento, como endereço de e-mail, estavam disponíveis.
Foram encontradas evidências indicando que a câmera também estava enviando fotos capturadas pela webcam para a nuvem do aplicativo . No entanto, Paine não conseguiu verificar essa descoberta, já que os links para os arquivos haviam expirado.
Por fim, o especialista afirma que encontrou credenciais codificadas no banco de dados para o servidor MQTT do aplicativo, um protocolo de mensagens frequentemente usado em dispositivos conectados à internet.
Apesar da descoberta, Paine não testou o funcionamento das credenciais. Isso porque, de acordo com a legislação dos Estados Unidos, essa prática seria ilegal. Mesmo assim, a empresa também foi informada sobre isso.
O mais intrigante de tudo isso é que Paine verificou que o banco de dados
estava sendo atualizado ao vivo. Para confirmar isso, ele criou uma conta nos serviços da empresa e pesquisou pelas informações. Encontrando-as em seguida.
Embora a sensibilidade dos dados fosse limitada, Paine alerta que algum hacker poderia se aproveitar da falha para criar uma campanha de e-mails de phishing de forma convincente para conseguir informações pessoais. A empresa ainda não se pronunciou sobre o ocorrido.