Recenti indagini di Cybernews hanno rivelato che le informazioni personali di migliaia di utenti di telecamere di sicurezza Virtavo potrebbero essere state compromesse. Virtavo è un produttore di telecamere di sicurezza e offre anche un’app per il video streaming e la riproduzione denominata Home V. Purtroppo, questa applicazione risulta raccogliere una quantità eccessiva di dati personali e di telemetria, suscitando preoccupazioni significative in materia di privacy e sicurezza.
dati esposti dall’app secondo cybernews
Il team di Cybernews ha scoperto che l’app Home V memorizzava ben 3GB di informazioni degli utenti su un server aperto, accessibile a chiunque. Tra i dati compromessi si trovavano informazioni sensibili come numeri di telefono e identificatori dei dispositivi. Poiché il server non era protetto, chiunque poteva accedere a tali informazioni.
Il server conteneva oltre 8,7 milioni di record, molti dei quali duplicati, e alcuni ID unici risultavano ripetuti varie volte. Si stima che questa esposizione possa aver coinvolto oltre 100.000 utenti unici, prevalentemente dalla Cina, ma con una raccolta di dati che includeva anche utenti a livello globale, sollevando ulteriori dubbi sulla privacy.
dettagli dei log esposti
Tra i log compromessi figuravano informazioni sui dispositivi e sul software, inclusi versione dell’app, modello del dispositivo e versione del firmware. I log comprendevano anche dati di rete, come indirizzi IP e tipo di connessione. Sono stati esposti anche identificativi degli utenti, come numeri di telefono, indirizzi email e altri identificatori unici. Inoltre, venivano trapelati metriche di prestazione quali la qualità della riproduzione video e la forza del segnale Wi-Fi. I log includevano anche timestamp, codici del server e dati relativi ai fusi orari.
I ricercatori hanno dichiarato: “I dati suggeriscono che l’applicazione raccoglie informazioni dettagliate oltre quanto necessario per le sue funzionalità basilari, sollevando preoccupazioni riguardo ai principi di minimizzazione dei dati previsti dalle normative sulla protezione dei dati.” L’analisi indica che attori malintenzionati potrebbero sfruttare tali informazioni per furto d’identità, accesso non autorizzato ai dispositivi e sorveglianza.
motivazione dell’esposizione
mancanza di sicurezza dell’Elasticsearch server (che funge da motore di analisi e ricerca dei dati) lasciato aperto, permettendo così l’accesso ai log esposti. Questi log monitorano la performance dell’app e permettono di diagnosticare eventuali problemi. Il server aggiornava i dati in tempo reale, intensificando la gravità della situazione.
Cybernews ha avvisato Virtavo il 18 settembre 2024, e CNCERT/CC (il Centro Nazionale di Risposta alle Emergenze su Rete Informatica della Cina) il 9 ottobre 2024. Entro il 5 novembre 2024, il server esposto è stato disconnesso, ma non esiste conferma che terzi non autorizzati abbiano avuto accesso ai dati prima della chiusura.
Lascia un commento