Een eenvoudige kwetsbaarheid in een cloudgebaseerd systeem maakte het mogelijk om toegang tot duizenden "smart" alarmsystemen te krijgen en die onder andere in en uit te schakelen. Het gaat om het SecureConnect-systeem van leverancier Eaton, zo meldt TechCrunch. Door middel van een mobiele app is het mogelijk om met de Eaton-cloud verbonden alarmsystemen op afstand te benaderen, te beheren en in en uit te schakelen.

Door middel van een IDOR-kwetsbaarheid was het mogelijk voor aanvallers om zich als nieuwe gebruiker te registreren en vervolgens dat account aan andere groepen van gebruikers toe te voegen, waaronder de "root" groep, die toegang tot alle alarmsystemen heeft die met de cloud van Eaton zijn verbonden. Via de root-groep was het mogelijk om van alle geregistreerde gebruikers naam, e-mailadres en locatie van het alarmsysteem te achterhalen, maar ook het alarm te bedienen.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

Het beveiligingslek werd gevonden door onderzoeker Vangelis Stykas, die het probleem aan Eaton rapporteerde. Het bedrijf kwam naar eigen zeggen in mei met een oplossing die het probleem verhelpt en publiceerde eerder deze maand een beveiligingsbulletin (pdf). Hoeveel alarmsystemen risico liepen laat Eaton niet weten, maar volgens Stykas gaat het om vele tienduizenden alarmen.