Según una investigación de Cybernews, la información personal de miles de usuarios de cámaras de seguridad Virtavo pueden haber estado expuestos. Para aquellos que no lo saben, Virtavo es un fabricante de cámaras de seguridad. La empresa también ofrece una iOS aplicación para transmisión y reproducción de video llamada Home V. Sin embargo, se ha descubierto que la aplicación recopila datos personales y telemetría excesivos de iPhone usuarios, lo que aumenta la privacidad y seguridad preocupaciones.
Una investigación sobre cibernoticias encuentra datos expuestos en una aplicación
El equipo de Cybernews descubrió que la aplicación Home V almacenaba 3 GB de información del usuario en un servidor abierto. Eso incluía información privada como teléfono Números e identificadores de dispositivos. Como el servidor no era seguro, cualquiera podía acceder a esa información.
El servidor tenía más de 8,7 millones de registros, muchos de los cuales estaban duplicados y algunas identificaciones únicas aparecían varias veces. Los investigadores estiman que esto podría haber afectado a más de 100.000 usuarios únicos. Muchos de los usuarios afectados parecen ser de China, pero el servidor también tenía datos de usuarios de todo el mundo, lo que genera más preocupaciones sobre la privacidad.
Detalles de los troncos expuestos.
Los registros expuestos incluían información del dispositivo y del software, como la versión de la aplicación, el modelo del dispositivo y la versión del firmware. Los registros también incluían información de la red, como direcciones IP y tipo de conexión. Las identificaciones de usuarios, incluidos números de teléfono, direcciones de correo electrónico y otros identificadores únicos, también se vieron comprometidas. También se incluyeron métricas de rendimiento como la calidad de reproducción de vídeo y la intensidad de la señal Wi-Fi. Además, los registros contenían marcas de tiempo, códigos de servidor y datos de zona horaria.
Los investigadores afirmaron, «Los datos sugieren que la aplicación recopila una gran cantidad de información más allá de lo necesario para la funcionalidad básica, lo que genera preocupaciones sobre los principios de minimización de datos según las leyes de protección de datos». El equipo observó que los actores malintencionados podrían utilizar esto para el robo de identidad, el acceso no autorizado a dispositivos y la vigilancia.
Causa de la exposición
Esto sucedió porque la empresa dejó su servidor Elasticsearch (análisis de datos y motor de búsqueda) sin seguridad, lo que permitió que cualquiera pudiera acceder a los registros expuestos. Esos registros monitorean aplicación rendimiento y solucionar problemas. El servidor se actualiza en tiempo real, lo que empeora aún más el problema.
Cybernews notificó a Virtavo el 18 de septiembre de 2024, y a CNCERT/CC (Equipo Técnico/Centro de Coordinación de Respuesta a Emergencias de la Red Nacional de Computadoras de China) el 9 de octubre de 2024. El 5 de noviembre de 2024, el servidor expuesto estaba cerrado. Sin embargo, no hay confirmación de que terceros no autorizados hayan accedido a los datos expuestos antes de que estuvieran protegidos.
Fuente: Android Headlines