Een fabrikant van Internet of Thing-seksspeeltjes had gevoelige klantgegevens niet goed beveiligd, waardoor aanvallers toegang hadden kunnen krijgen tot onversleutelde wachtwoorden, e-mailadressen, adresgegevens, chatgesprekken, vriendenlijsten, naaktfoto's en de seksuele geaardheid van klanten. Ook was het mogelijk voor aanvallers om willekeurige IoT-seksspeeltjes op afstand, zowel via bluetooth als het internet en zonder toestemming van de eigenaar, te besturen.

De app fungeert niet alleen als afstandsbediening, het biedt ook meerdere features om te communiceren en andere gebruikers te vinden. Zo is er een vriendenlijst, videochatfunctie, forum en de mogelijkheid om met andere gebruikers beelden uit te wisselen. Onderzoekers ontdekten acht kwetsbaarheden in de apparatuur en infrastructuur van het IoT-seksspeeltje.

In de webroot van vibratissimo.com werd een .DS_STORE bestand gevonden met de gebruikersnaam en het wachtwoord voor de database. Een aanvaller had zo gevoelige informatie kunnen achterhalen, waaronder afbeeldingen en adresgegevens Verder was de phpMyAdmin-installatie voor iedereen op internet toegankelijk en kon via het eerder achterhaalde wachtwoord worden benaderd. Het bedrijf bleek verder wachtwoorden onversleuteld op te slaan.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha