Aplicación de videovigilancia expone datos personales de miles de usuarios

Los creadores de una aplicación móvil de videovigilancia dejó expuesta en línea una base de datos sin contraseña que contenía información confidencial de miles de usuarios. El incidente fue descubierto por el investigador de seguridad Justin Paine a principios de enero.

La data pertenecía a Adorcam, una app gratuita para dispositivos iOS y Android diseñada especialmente para ver y controlar varios modelos de cámaras web IP P2P (es decir, incorporan una conexión directa a internet), como las Zeeporte y Umino.

Almacenada en Elasticsearch, esta base de datos tenía un tamaño de 51 GB y reunía alrededor de 124 millones de filas de datos de miles de personas, incluidos los ID de usuario, contraseñas con hash y direcciones de correo electrónico del propietario y de quienes se les compartió acceso al dispositivo.

Asimismo, contenía detalles sobre la cámara de seguridad, como su número de serie, ubicación geográfica del país, nombre del servidor, estado del micrófono, nombre de la red Wi-Fi a la que estaba conectada y mensajes de error detallados.

Paine pudo confirmar que los datos se actualizaban en vivo después de realizar el proceso de registro en la aplicación y encontrar su información ahí. Por otro lado, también encontró evidencia de que imágenes capturadas por la cámara web se subían a la nube de la aplicación.

Tras reportar la vulnerabilidad de seguridad a los desarrolladores de Adorcam, la base de datos se protegió el 19 de enero. El investigador advirtió que, potencialmente, esta información podría ser aprovechada por piratas informáticos para crear correos electrónicos de phishing o extorsionar.