とあるウェブカムアプリが数千人のユーザーアカウント情報を漏洩

数千人のユーザーがインストールしているウェブカメラアプリはパスワードなしで、ユーザーデータが詰まったデータベースをインターネット上に公開してしまった。

Elasticsearchデータベースは、ZeeporteやUminoといった、複数のウェブカメラを閲覧したり、制御したりするためのアプリAdorcamに属している。セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏がデータ漏洩を発見しAdorcamに連絡したところ、Adorcamはデータベースを保護した。

ペイン氏はTechCrunchと共有したブログ記事で、データベースには数千人のユーザーに関する約1億2400万行のデータが含まれており、その中にはウェブカメラの位置情報やマイクの有無、カメラが接続されているWi-Fiネットワークの名前など、ウェブカメラに関するライブ情報や、メールアドレスなどウェブカメラの所有者に関する情報が含まれていたと述べている。

ペイン氏はウェブカメラからキャプチャした画像がアプリのクラウドにアップロードされている証拠も発見したが、リンクの有効期限が切れていたため確認できなかった。

さらにペイン氏は、アプリのMQTTサーバー用のデータベースから、ハードコードされた認証情報を見つけた。MQTTはインターネットに接続されたデバイスでよく使われる軽量のメッセージングプロトコルだ。同氏は認証情報をテストしなかったが(米国では違法であるため)、脆弱性についてアプリ開発者に警告し、開発者はパスワードを変更した。

ペイン氏は新しいアカウントでサインアップし、データベース内で自分の情報を検索することで、データベースがライブで更新されていることを確認した。データの機密性は限られていたが、同氏は悪意あるハッカーが説得力のあるフィッシングメールを作成したり、その情報を恐喝に利用したりする可能性があると警告した。

Adorcamはこの事件についてユーザーに通知する予定があるかどうかなど、米TechCrunchからのメールに返信していない。

カテゴリー:セキュリティ
タグ:データ漏洩

画像クレジット:TechCrunch / in-house

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。