Ga naar de inhoud
1 april 2019 • Nieuws

Beveiligingsbedrijf vindt weer lek dat toegang geeft tot data kindersmartwatches

Een beveiligingsbedrijf heeft weer een lek gevonden dat kwaadwillenden toegang had gegeven tot de data van tienduizenden smartwatches van kinderen. Het bleek mogelijk om als admin in te loggen op het webportaal van een fabrikant van kinderhorloges.

import3-import3-Kids_

Door in het post-request bij het inloggen de waarde voor ‘User(grade)’ te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator, meldt PenTestPartners. Vervolgens bleek het na een kleine wijziging mogelijk om de data in te zien van 35.000 smartwatches van kinderen bij 20.000 accounts. In de backend zat geen check of een gebruiker admin-rechten zou mogen hebben.

Dezelfde backend is volgens het beveiligingsbedrijf bij meerdere makers van smartwatches in gebruik. De maker van de smartwatches fixte het lek in eerste instantie niet, maar sloot het testaccount van het beveiligingsbedrijf af. In tweede instantie kwam er binnen een paar dagen wel een fix voor het lek.

Lees verder op Tweakers.net