Door in het post-request bij het inloggen de waarde voor ‘User(grade)’ te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator, meldt PenTestPartners. Vervolgens bleek het na een kleine wijziging mogelijk om de data in te zien van 35.000 smartwatches van kinderen bij 20.000 accounts. In de backend zat geen check of een gebruiker admin-rechten zou mogen hebben.

Dezelfde backend is volgens het beveiligingsbedrijf bij meerdere makers van smartwatches in gebruik. De maker van de smartwatches fixte het lek in eerste instantie niet, maar sloot het testaccount van het beveiligingsbedrijf af. In tweede instantie kwam er binnen een paar dagen wel een fix voor het lek.

Lees verder op Tweakers.net