Как выяснил эксперт, камера Footfallcam, предназначенная для подсчета проходящих мимо людей, построена на плате Raspberry Pi. Анализ прошивки показал не только забытые разработчиком отладочные файлы (и один музыкальный трек), но и фиксированный пароль доступа к Wi-Fi-сети стандартного пользователя ОС Raspbian с паролем по умолчанию, а также включенный доступ по протоколу SSH. Иными словами, после добавления в корпоративную сеть устройство представляло собой огромную дыру в безопасности. Но это был не единственный продукт производителя со странным подходом к защите.
Драма началась в процессе приватного общения исследователя c производителем. Представители Footfallcam запросили у OverSoftNL и его компании услуги пентестинга, но после предварительной оценки стоимости исследователя публично обвинили в вымогательстве и пообещали заявить в полицию. Здесь к истории подключился другой исследователь, Эндрю Тирни (Andrew Tierney), который 14 февраля опубликовал обзор проблем в другом устройстве того же производителя. На этот раз речь шла о камерах Nurserycam. Их устанавливают в детских садах, а родителям предлагается скачать приложение, через которое они могут получить доступ к видео в потоковом режиме.
Утилита накладывает ряд ограничений на доступ, чтобы его могли получить только родители и только в определенное время. Как выяснилось, Nurserycam не только общается с приложением по незащищенному протоколу HTTP, но авторизованным родителям для доступа к веб-камере выдается пароль администратора, который не меняется. Хотя пароли напрямую не демонстрировались в приложении, их было легко вытащить из потока данных. Производитель веб-камер и в этом случае пытался проигнорировать актуальные проблемы, назвав админский доступ приманкой для хакеров. Одновременно произошли некоторые изменения в API для работы с камерами, которые, впрочем, ничего не исправили.
Финальным аккордом истории стала утечка пользовательских данных, предположительно произошедшая в результате взлома серверов компании. О ней стало известно 22 февраля: в открытый доступ попали сведения о 12 000 клиентов Nurserycam, включая пароли открытым текстом. Судя по анализу уязвимостей, можно говорить о многолетнем игнорировании базовых средств защиты пользовательских данных. На это также указывают свидетельства клиентов Nurserycam: несколько лет назад кто-то обнаружил, что прямой доступ к любым видеопотокам можно получить, перебирая цифры в URL, а архив записей какое-то время лежал на FTP без пароля.
Помимо прочего, эта история пример отвратительной коммуникации между специалистами по безопасности и вендором. Информацию об уязвимостях выложили в открытый доступ до того, как производитель смог на нее отреагировать. Но и он сделал все возможное для такого исхода, вместо конструктивного общения рассылая угрозы и атакуя исследователей публично с фейковых аккаунтов в Twitter. Все, что могло пойти не так, пошло не так.
Что еще произошло
Эксперты вновь сообщают об опасности навыков (по сути, стороннего софта) для умных колонок Amazon Alexa (новость, исследование). Ряд прорех в защите позволяет в теории использовать навыки для фишинговых атак на пользователей и прочего. Представители Amazon (впрочем, как и в других подобных случаях) отрицают возможность вредоносных атак на умные голосовые устройства.
Специалисты Лаборатории Касперского опубликовали свежее исследование о деятельности группировки Lazarus, частично связанное с недавней атакой на исследователей по безопасности.
В другом отчете Лаборатории Касперского освещают эволюцию сталкерского ПО для неправомерной слежки за людьми.
В Индии обнаружена масштабная утечка данных о прошедших тест на коронавирус.
В свитчах Cisco Nexus 3000 и Nexus 9000 нашли (и закрыли) критическую уязвимость, которую оценили на 9,8 балла по шкале CvSS, она давала возможность удаленно получить root-права.
