El investigador de seguridad Justin Paine, descubrió una base de datos ElasticSearch que pertenecía a Adorcam, una aplicación para ver y administrar cámaras web.
La base de datos se encontraba expuesta a internet sin ninguna protección, y se podía acceder al contenido como direcciones de correo electrónicos de los usuarios, contraseñas en formato hash, nombre de la red wifi e imágenes capturadas por la cámara web.
Justin Paine se registró con una cuenta nueva en la aplicación, encontrándola en los registros de la base de datos, se esa forma concluyo que la base de datos expuesta se encontraba en producción.
En Google Play Store hay registrado más de 10.000 descargas en todo el mundo, esta aplicación proporciona una conexión P2P para marcas de cámaras web Ip como Zeeporte y Umino.
La base de datos contenía 124 millones de filas de datos, que equivalente a 52 Gigabyte de información.
Cronología del incidente:
- 14 de enero de 2021 Correo electrónico inicial enviado a Adorcam.
- 15 de enero de 2021 Correo electrónico de seguimiento enviado.
- 15 de enero de 2021 Respuesta por correo electrónico reconociendo el informe.
- 17 de enero de 2021 Correo electrónico que indica que el equipo de “desarrollo de software” estaba revisando.
- 19 de enero de 2021 Correo electrónico de seguimiento enviado.
- 19 de enero de 2021 Base de datos protegida.
