Volgens onderzoek van Cybernews zijn mogelijk de persoonlijke gegevens van duizenden gebruikers van Virtavo-beveiligingscamera’s openbaar gemaakt. Voor degenen die het niet weten: Virtavo is een fabrikant van beveiligingscamera’s. Het bedrijf biedt ook een iOS-app voor het streamen en afspelen van video’s, genaamd Home V. Er is echter gebleken dat de app buitensporige persoonlijke gegevens en telemetrie van iPhone-gebruikers verzamelt, wat aanleiding geeft tot privacy- en veiligheidsproblemen.
Cybernieuwsonderzoek vindt blootgestelde gegevens van een app
Het Cybernews-team ontdekte dat de Home V-app 3 GB aan gebruikersinformatie op een open server opsloeg. Dat omvatte privégegevens zoals telefoonnummers en apparaat-ID’s. Omdat de server onbeveiligd was, had iedereen toegang tot die informatie.
De server had meer dan 8,7 miljoen records, waarvan er vele dubbele waren, waarbij sommige unieke ID’s meerdere keren verschenen. Onderzoekers schatten dat dit meer dan 100.000 unieke gebruikers zou kunnen hebben getroffen. Veel van de getroffen gebruikers lijken uit China te komen, maar de server beschikte ook over gegevens van gebruikers over de hele wereld, wat verdere zorgen over de privacy veroorzaakte.
Details van de blootgestelde logboeken
Blootgestelde logboeken bevatten apparaat- en software-informatie, zoals app-versie, apparaatmodel en firmwareversie. De logboeken bevatten ook netwerkinformatie zoals IP-adressen en verbindingstype. Gebruikers-ID’s, waaronder telefoonnummers, e-mailadressen en andere unieke identificatiegegevens, werden ook gecompromitteerd. Prestatiestatistieken zoals de afspeelkwaliteit van video en de sterkte van het Wi-Fi-signaal werden ook opgenomen. Bovendien bevatten de logboeken tijdstempels, servercodes en tijdzonegegevens.
De onderzoekers verklaarden: “De gegevens suggereren dat de applicatie uitgebreide informatie verzamelt die verder gaat dan wat nodig is voor de basisfunctionaliteit, wat aanleiding geeft tot bezorgdheid over de principes van dataminimalisatie onder de wetgeving inzake gegevensbescherming.” Het team merkte op dat kwaadwillende actoren dit zouden kunnen gebruiken voor identiteitsdiefstal, ongeautoriseerde toegang tot apparaten en surveillance.
Oorzaak van de blootstelling
Dit gebeurde omdat het bedrijf zijn Elasticsearch-server (data-analyse en zoekmachine) onbeveiligd liet, waardoor iedereen toegang kreeg tot de blootgestelde logs. Deze logboeken monitoren de app-prestaties en lossen problemen op. De server wordt in realtime bijgewerkt, wat het probleem nog erger maakt.
Cybernews bracht Virtavo op 18 september 2024 op de hoogte en CNCERT/CC (het National Computer Network Emergency Response Technical Team/Coördinatiecentrum van China) op 9 oktober 2024. Op 5 november 2024 werd de blootgestelde server gesloten. Er is echter geen bevestiging dat ongeautoriseerde derden toegang hebben gekregen tot de blootgestelde gegevens voordat deze werden beveiligd.