Fabrikant IoT-seksspeeltjes lekte gevoelige klantgegevens
Een Duitse fabrikant van Internet of Thing-seksspeeltjes had gevoelige klantgegevens niet goed beveiligd, waardoor aanvallers toegang hadden kunnen krijgen tot onversleutelde wachtwoorden, e-mailadressen, adresgegevens, chatgesprekken, vriendenlijsten, naaktfoto's en de seksuele geaardheid van klanten.
Ook was het mogelijk voor aanvallers om willekeurige IoT-seksspeeltjes op afstand, zowel via bluetooth als het internet en zonder toestemming van de eigenaar, te besturen zo meldt securitybedrijf SEC Consult. Het product in kwestie is de Vibratissimo "Panty Buster" van het bedrijf Amor Gummiwaren. Het seksspeeltje is op afstand via een smartphone-app te bedienen.
De app fungeert niet alleen als afstandsbediening, het biedt ook meerdere features om te communiceren en andere gebruikers te vinden. Zo is er een vriendenlijst, videochatfunctie, forum en de mogelijkheid om met andere gebruikers beelden uit te wisselen. Onderzoekers ontdekten acht kwetsbaarheden in de apparatuur en infrastructuur van het IoT-seksspeeltje.
In de webroot van vibratissimo.com werd een .DS_STORE bestand gevonden met de gebruikersnaam en het wachtwoord voor de database. Een aanvaller had zo gevoelige informatie kunnen achterhalen, waaronder afbeeldingen en adresgegevens Verder was de phpMyAdmin-installatie voor iedereen op internet toegankelijk en kon via het eerder achterhaalde wachtwoord worden benaderd. Het bedrijf bleek verder wachtwoorden onversleuteld op te slaan.
Wat betreft het IoT-seksspeeltje was het mogelijk om een ongeauthenticeerde bluetooth-verbinding op te zetten en zo het apparaat te besturen. Dit bleek ook mogelijk via het internet te zijn. De app biedt de mogelijkheid voor vrienden om het speeltje op afstand over te nemen. Door een gebrek aan authenticatie was het voor een aanvaller mogelijk om dit te doen. Na te zijn ingelicht zijn de grootste problemen door de fabrikant verholpen. De overige kwetsbaarheden worden uiterlijk in maart opgelost. Hieronder een videodemonstratie van de onderzoekers.
https://www.sec-consult.com/en/blog/advisories/multiple-critical-vulnerabilities-in-whole-vibratissimo-smart-sex-toy-product-range/index.html
Durf het bijna niet te opperen.
Maar ik heb de indruk dat men hier een vergissing maakt.
In die .DS_STORE wordt niet zoveel opgeslagen.
Wat wel een probleem oplevert op dragers als usb sticks e.d., is de automatisch aangemaakte (onzichtbare) ".Spotlight-V100" directory met subdirecories als "Store-V1", "Store-V2" en waarin dan bijvoorbeeld weer mappen zijn te vinden met al gauw 40 tot 70 bestanden waarvan sommigen inderdaad traces van handelingen, databases, trefwoorden, zoekopdrachten etc kunnen bevatten, en nog vrij veel ook maar het ziet er wat random uit altijd.
Dit laakbare gedrag van OSX is al jaren bekend ; dat gevaar van spotlight dat sporen nalaat op usb sticks en andere datadragers.
Apple doet er niets aan, en het enige dat je zelf kan doen is de drager toevoegen aan de uitsluitingslijst van indexatie onder de spotlight voorkeuren.
in de Os9 tijd was het nog wat hardnekkiger, dan werden dit soort sporen doodleuk meegebrand op elke willekeurige cd die je brandde, zat het in 1 van de 2 meegeleverde db / index bestanden op de cd.
Alstublief en dankuwel.
Maar dat .DS_STORE bestand bevat bij mijn weten alleen data met layout voorkeuren als kolomweergave of icoonweergave, sorterting op datum of bestandssoort etc.
Ik denk dat het om die ".Spotlight-V100" directory gaat die is meegekopieerd naar een server en niet zozeer een .DS_STORE bestand dat bedoeld is voor andere zaken.
Maar zij zijn de experts en zullen het wel zo ontdekt hebben, tenzij ze het toch onjuist hebben 'opgenoteerd'.
https://en.wikipedia.org/wiki/.DS_Store
Kan je uitzetten in je upduckyproggie.
Maar ik heb de indruk dat men hier een vergissing maakt.
In die .DS_STORE wordt niet zoveel opgeslagen.
...
Maar dat .DS_STORE bestand bevat bij mijn weten alleen data met layout voorkeuren als kolomweergave of icoonweergave, sorterting op datum of bestandssoort etc.
https://en.wikipedia.org/wiki/.DS_Store
Het zal weliswaar niet het normale gebruik van dat bestand zijn, maar dat neemt niet weg dat men het op de beschreven manier kan misbruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.