摄像头不安全，导致大量应用程序数据泄露到网上（涉及中国用户）

一个安全摄像头流媒体应用程序被发现收集了大量个人数据。不仅如此，它还将日志存储在任何人都可以访问的开放服务器上。数以千计的 Virtavo 安全摄像头用户可能已经暴露。

6 月 25 日，Cybernews 研究团队发现了一个巨大的暴露数据服务器，其中包含 3GB 的个人信息和来自安装了特定应用程序的 iPhone 的遥测数据。

对日志样本的分析表明，这些数据与管理 Virtavo 安全摄像头的 Home V 应用程序有关。

不安全的 Elasticsearch 服务器（数据分析和搜索引擎）暴露了包含用户电话号码、设备标识符、IP 地址和固件版本的日志，以及其他详细的设备、网络和用户信息。这些日志似乎是用于性能监控或故障排除的诊断报告，并且是实时更新的。

服务器包含超过 870 万条记录。许多是重复的快照，其中一些唯一标识符出现多达 50 次。研究人员估计，超过 100,000 个独立用户可能会受到影响。

虽然很大一部分用户群似乎来自中国，但该服务器还收集了来自世界各地的用户的数据，这引发了人们对数据隐私和安全的担忧。

“详细的设备标识符、IP 地址、用户电话号码和其他个人信息可能被恶意行为者用于各种目的，包括定向攻击、未经授权的访问、身份盗用和监视，”研究人员警告说。

“实时更新加剧了这个问题，因为它允许持续收集新数据。”

Cybernews 研究人员负责任地向 Virtavo 和中国 CERT（计算机应急响应小组）披露了该问题，Elasticsearch 实例现已关闭。目前尚不清楚是否有其他第三方访问了这些数据。Cybernews 联系了 Virtavo 寻求置评，但尚未收到回复。

然而，一个明显的问题仍然存在：安全摄像头供应商似乎收集了大量个人信息并将其存储在他们的服务器上，这可能不符合数据最小化做法和数据保护法规，例如 GDPR 或中国个人信息保护法 （PIPL）。

Virtavo 是一家安全摄像头制造商，还为 iOS 设备提供视频流或播放应用程序，称为“Home V”应用程序。它用作家庭的交互式监控解决方案：流式传输实时视频、允许双向通信、播放录制的视频、在检测到运动时发出警报等。

收集了哪些数据？

公开的日志包含几个关键的用户和设备信息，如下所示：

1. 设备和软件详细信息：

• 应用版本
• 设备型号：例如 iPhone12,5 （iPhone 11 Pro Max）
• 操作系统
• 固件版本：特定的构建信息
• 视频解码信息：使用“VideoTool Box”解码 H.264 格式

2. 网络信息：

• 国家/地区代码：例如 CN （China）
• IP地址：管理器 IP 指示服务器位置
• 连接类型：连接类型为“蜂窝网络”的蜂窝网络
• 网络运营商和类型

3. 用户标识符：

• 用户帐户：由电话号码或电子邮件地址组成
• 用户 ID 和 UUID：每个用户的唯一标识符
• 设备 ID：设备唯一的数字标识符

4. 性能指标：

• 解码第一帧延迟：指示视频播放的性能
• WiFi 强度：信号强度，即使连接类型为蜂窝连接

5. 其他信息：

• 创建时间：指示日志条目创建时间的时间戳
• 服务器代码：可能表示处理请求的服务器（例如，“sh”可能代表上海）
• 时区：指示时区偏移量

“设备标识符，例如 MAC 地址，指向 Virtavo 是供应商，”Cybernews 研究人员指出。

“这些信息可能有助于利用 Virtavo 相机并识别其所有者。这些数据的曝光凸显了数据安全实践中的重大失误。

Virtavo 安全摄像头用户应注意，暴露的详细日志可用于利用漏洞，从而可能导致对用户设备进行未经授权的访问或攻击。泄露的用户电话号码和设备信息可以促进身份盗用和未经授权的监控。

IP 地址和位置数据可用于跟踪用户的物理位置或用于地理定位攻击。

各种数据保护法通常要求企业通过数据最小化和目的限制原则来限制数据收集——仅收集实现特定目的所需的数据。组织还需要获得个人的明确同意，并就数据的使用方式提供透明度。泄露用户数据可能违反数据保护法，导致不合规和法律后果。

研究人员说：“数据表明，该应用程序收集了超出基本功能所需范围的广泛信息，这引发了人们对数据保护法下数据最小化原则的担忧。

个人数据应匿名、加密和锁定

该事件凸显了保护数据存储系统的极端重要性，尤其是那些包含敏感用户信息的数据存储系统。

“公司必须优先考虑数据安全，以保护其用户并维护信任，尤其是在国际范围内运营时，”Cybernews 研究人员表示。

他们建议采取以下缓解措施：

• 保护 Elasticsearch 服务器：实施适当的安全措施，包括身份验证和访问控制，以防止未经授权的访问。
• 数据加密：对静态和传输中的敏感数据进行加密，以防止未经授权的访问。
• 访问监控：实施日志记录和监控，以检测任何未经授权的访问尝试并及时响应。
• 限制数据收集：审查所收集的数据的必要性，并将其限制为仅对应用程序功能至关重要的数据。
• 用户通知：通知受影响的用户有关数据泄露的信息，并提供有关如何保护自己的指导。
• 合规性审查：评估对国际数据保护法规的遵守情况，并根据需要采取纠正措施。
• 事件响应计划：制定并实施强大的事件响应计划，以有效处理未来的安全事件。
• 定期安全审计：定期进行安全评估和审计，以识别和修复漏洞。

组织还必须遵循数据最小化原则，不断重新评估收集敏感信息的必要性，并且只保留对运营至关重要的数据。

“在可能的情况下，对数据进行匿名或假名化以保护用户身份。确保用户了解正在收集的数据，并已根据适用法律提供明确同意，“研究人员说。

披露时间表

• 2024 年 6 月 25 日：发现泄漏。
• 2024 年 9 月 18 日：向 Virtavo 发送初始披露电子邮件。
• 2024 年 10 月 9 日：向 CNCERT/CC（国家计算机网络应急响应技术小组/协调中心）披露
• 2024 年 11 月 5 日：数据访问已关闭。

信息来源:https://cybernews.com/security/virtavo-security-camera-app-data-spilled-online/