Nach Recherchen von Cybernews könnten die persönlichen Daten Tausender Benutzer von Virtavo-Überwachungskameras offengelegt worden sein. Für diejenigen, die es nicht wissen: Virtavo ist ein Hersteller von Überwachungskameras. Das Unternehmen bietet auch eine iOS-App für Video-Streaming und -Wiedergabe namens Home V an. Es wurde jedoch festgestellt, dass die App übermäßig viele persönliche Daten und Telemetriedaten von iPhone-Benutzern sammelt, was Datenschutz- und Sicherheitsbedenken aufwirft.
Cybernews-Recherche findet offengelegte Daten aus einer App
Das Cybernews-Team entdeckte, dass die Home V-App 3 GB an Benutzerinformationen auf einem offenen Server speicherte. Dazu gehörten private Informationen wie Telefonnummern und Gerätekennungen. Da der Server ungesichert war, konnte jeder auf diese Informationen zugreifen.
Der Server hatte über 8,7 Millionen Datensätze, viele davon waren Duplikate, wobei einige eindeutige IDs mehrfach auftauchten. Forscher schätzen, dass davon über 100.000 einzelne Benutzer betroffen gewesen sein könnten. Viele der betroffenen Benutzer scheinen aus China zu stammen, aber der Server enthielt auch Daten von Benutzern aus der ganzen Welt, was weitere Bedenken hinsichtlich des Datenschutzes aufkommen ließ.
Details zu den offengelegten Protokollen
Offengelegte Protokolle enthielten Geräte- und Softwareinformationen wie App-Version, Gerätemodell und Firmware-Version. Die Protokolle enthielten auch Netzwerkinformationen wie IP-Adressen und Verbindungstyp. Auch Benutzer-IDs, einschließlich Telefonnummern, E-Mail-Adressen und andere eindeutige Identifikatoren, wurden kompromittiert. Leistungsmetriken wie die Videowiedergabequalität und die WLAN-Signalstärke wurden ebenfalls einbezogen. Darüber hinaus enthielten die Protokolle Zeitstempel, Servercodes und Zeitzonendaten.
Die Forscher erklärten: „Die Daten deuten darauf hin, dass die Anwendung umfangreiche Informationen sammelt, die über das hinausgehen, was für die Grundfunktionalität erforderlich ist, was Bedenken hinsichtlich der Grundsätze der Datenminimierung im Rahmen der Datenschutzgesetze aufkommen lässt.“ Das Team stellte fest, dass böswillige Akteure dies für Identitätsdiebstahl, unbefugten Gerätezugriff und Überwachung nutzen könnten.
Ursache der Belichtung
Dies geschah, weil das Unternehmen seinen Elasticsearch-Server (Datenanalyse und Suchmaschine) ungesichert ließ, sodass jeder auf die offengelegten Protokolle zugreifen konnte. Diese Protokolle überwachen die App-Leistung und beheben Probleme. Der Server aktualisiert sich in Echtzeit, was das Problem noch verschlimmert.
Cybernews benachrichtigte Virtavo am 18. September 2024 und CNCERT/CC (The National Computer Network Emergency Response Technical Team/Coordination Center of China) am 9. Oktober 2024. Am 5. November 2024 wurde der exponierte Server geschlossen. Es gibt jedoch keine Bestätigung dafür, dass unbefugte Dritte vor der Sicherung auf die offengelegten Daten zugegriffen haben.
