Óvodás módszerek

2021. február 23. 10:58 - Csizmazia Darab István [Rambo]

Az Egyesült Királyságban működő NurseryCam gyerekfelügyeleti szolgáltatását feltörték. Az ismeretlen támadó hozzáfért a felhasználók személyes adataihoz, beleértve a valódi név, felhasználói név, jelszó, e-mail cím mezőket is. Az elsősorban óvodákban alkalmazott IoT szülői webkamera rendszer biztonságára már évek óta sok volt a panasz.

A támadónak - aki egy évek óta ismert hibát használhatott ki - szinte az ölébe hulltak a bizalmas adatok. A hírről beszámoló cikkek alatt rendre azt lehet olvasni, már sokszor, például hat éve, 2015-ben is jelezték a fejlesztőknek, hogy orbitális hiányosságok vannak a biztonság területén. Bárki, aki bejelentkezett a Nurserycam DVR rendszerébe, admin joggal rendelkezhetett - ez biztosan nem fog bekerülni a profi felhasználói hitelesítések nagy aranykönyvébe.

A gyenge kialakítás miatt elvileg illetéktelenek bárkinek az élő kamerás felvételébe is belenézhettek, átirkálva az URL paramétereket. De a korábbi panaszok közt található az is, hogy például a régebbi videókat tartalmazó FTP tárhelyük is sokáig hitesítés nélkül, nyilvánosan elérhető volt. Még a tavalyi évben is volt, aki biztonsági aggályokat jelentett a NurseryCam felé, ám ők sem kaptak érdemi választ.

A mostani incidensnél a támadó múlt pénteken felvette a kapcsolatot a céggel azzal, hogy 12 ezer NurseryCam felhasználó fiók részletes személyes adatát szerezte meg, amire azonnal lekapcsolták a szolgáltatást és értesítették a felhasználóikat. Az Egyesült Királyságban bejegyzett vállalkozást két cég viszi, a FootfallCam Ltd és a Meta Technologies Ltd.

A kiszivárgott felhasználói adatok egy külsős szakértő ellenőrzése szerint tényleg valódiak. Úgy tűnik, a Brexit előtti GDPR nem működött megfelelően, hiszen itt nem pusztán csak bizalmas személyes ügyféladatokról van szó, hanem gyerekekről készült felvételekről is.

Gyenge termék, hiányos biztonság, gyengén teljesítő ügyfélszolgálat, és végül rossz reagálás az incidens nyilvánosságra kerülésénél - ez nem éppen optimális párosítás. "Ügyfeleink biztonsága az első gondunk... Nagyon komolyan vesszük termékeink biztonságát...".

Mindeközben viszont úgy tűnik, kiberbiztonság helyett látszólag inkább a PR-ba fektettek energiát. Ugyanis a cikkek tanúsága szerint jóval nagyobb erőfeszítéseket tettek a kritizálók Twitteren való letiltására, elhallgattatására, mint saját biztonsági problémáik orvoslására.

A biztonsági hibát jelző szakértő szavai egyértelműek: "My Opinion: These issues are obvious and fundamental. They should not have existed in the first place." A társaság nyilvános bocsánatkérésében pedig ezt olvashatjuk: "A NurseryCam őszintén elnézést kér minden szülői felhasználótól, valamint óvodától a bekövetkezett eset miatt, nagyon sajnáljuk".

Hát az Egyesült Királyság Adatvédelmi Hivatala (ICO) talán fog majd valami bírságot kiróni a cégre. Addig is a veterán antivirus blog olvasó nagyot sóhajt, majd az x-re kattintva bezárja ezt a böngészőlapot ;-)

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása