Selon une étude de Cybernews, les informations personnelles de milliers d'utilisateurs de caméras de sécurité Virtavo pourraient avoir été exposées. Pour ceux qui ne le savent pas, Virtavo est un fabricant de caméras de sécurité. La société propose également une application iOS pour le streaming et la lecture vidéo appelée Home V. Cependant, il a été constaté que l'application collecte des données personnelles et des données télémétriques excessives auprès des utilisateurs d'iPhone, ce qui soulève des problèmes de confidentialité et de sécurité.
Une étude de Cybernews révèle des données exposées provenant d'une application
L'équipe de Cybernews a découvert que l'application Home V stockait 3 Go d'informations utilisateur sur un serveur ouvert. Cela incluait des informations privées telles que des numéros de téléphone et des identifiants d’appareil. Le serveur n’étant pas sécurisé, il permettait à quiconque d’accéder à ces informations.
Le serveur contenait plus de 8,7 millions d'enregistrements, dont beaucoup étaient des doublons, certains identifiants uniques apparaissant plusieurs fois. Les chercheurs estiment que cela aurait pu affecter plus de 100 000 utilisateurs uniques. La plupart des utilisateurs concernés semblent provenir de Chine, mais le serveur contenait également des données d'utilisateurs du monde entier, ce qui soulève d'autres problèmes de confidentialité.
Détails des journaux exposés
Les journaux exposés comprenaient des informations sur l'appareil et le logiciel, telles que la version de l'application, le modèle de l'appareil et la version du micrologiciel. Les journaux comprenaient également des informations sur le réseau telles que les adresses IP et le type de connexion. Les identifiants des utilisateurs, notamment les numéros de téléphone, les adresses e-mail et d’autres identifiants uniques, ont également été compromis. Des mesures de performances telles que la qualité de lecture vidéo et la force du signal Wi-Fi ont également été incluses. De plus, les journaux contenaient des horodatages, des codes de serveur et des données de fuseau horaire.
Les chercheurs ont déclaré : « Les données suggèrent que l'application collecte des informations détaillées au-delà de ce qui est nécessaire pour les fonctionnalités de base, soulevant des inquiétudes quant aux principes de minimisation des données en vertu des lois sur la protection des données. » L’équipe a noté que des acteurs malveillants pourraient l’utiliser à des fins d’usurpation d’identité, d’accès non autorisé à des appareils et de surveillance.
Cause de l'exposition
Cela s'est produit parce que l'entreprise a laissé son serveur Elasticsearch (analyse de données et moteur de recherche) non sécurisé, permettant à quiconque d'accéder aux journaux exposés. Ces journaux surveillent les performances des applications et résolvent les problèmes. Le serveur se met à jour en temps réel, ce qui aggrave encore le problème.
Cybernews a informé Virtavo le 18 septembre 2024 et le CNCERT/CC (Équipe technique nationale d'intervention d'urgence du réseau informatique/Centre de coordination de Chine) le 9 octobre 2024. Le 5 novembre 2024, le serveur exposé était fermé. Cependant, rien ne confirme que des tiers non autorisés ont accédé aux données exposées avant qu'elles ne soient sécurisées.
