数千人のユーザーがインストールしているウェブカメラアプリはパスワードなしで、ユーザーデータが詰まったデータベースをインターネット上に公開してしまった。
Elasticsearchデータベースは、ZeeporteやUminoといった、複数のウェブカメラを閲覧したり、制御したりするためのアプリAdorcamに属している。セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏がデータ漏洩を発見しAdorcamに連絡したところ、Adorcamはデータベースを保護した。
ペイン氏はTechCrunchと共有したブログ記事で、データベースには数千人のユーザーに関する約1億2400万行のデータが含まれており、その中にはウェブカメラの位置情報やマイクの有無、カメラが接続されているWi-Fiネットワークの名前など、ウェブカメラに関するライブ情報や、メールアドレスなどウェブカメラの所有者に関する情報が含まれていたと述べている。
ペイン氏はウェブカメラからキャプチャした画像がアプリのクラウドにアップロードされている証拠も発見したが、リンクの有効期限が切れていたため確認できなかった。
さらにペイン氏は、アプリのMQTTサーバー用のデータベースから、ハードコードされた認証情報を見つけた。MQTTはインターネットに接続されたデバイスでよく使われる軽量のメッセージングプロトコルだ。同氏は認証情報をテストしなかったが(米国では違法であるため)、脆弱性についてアプリ開発者に警告し、開発者はパスワードを変更した。
ペイン氏は新しいアカウントでサインアップし、データベース内で自分の情報を検索することで、データベースがライブで更新されていることを確認した。データの機密性は限られていたが、同氏は悪意あるハッカーが説得力のあるフィッシングメールを作成したり、その情報を恐喝に利用したりする可能性があると警告した。
Adorcamはこの事件についてユーザーに通知する予定があるかどうかなど、米TechCrunchからのメールに返信していない。
カテゴリー:セキュリティ
タグ:データ漏洩
画像クレジット:TechCrunch / in-house
[原文へ]
(文:Zack Whittaker、翻訳:塚本直樹 / Twitter)