Créditos de la imagen: Imágenes Kameleon007/Getty
El gigante estadounidense de productos eléctricos y electrónicos Eaton solucionó una falla de seguridad que permitió a un investigador de seguridad acceder de forma remota a miles de sistemas de alarma de seguridad inteligentes.
investigador de seguridad Vangelis Stykas dice que encontró la vulnerabilidad en SecureConnect de Eatonun sistema basado en la nube que permite a los clientes acceder, administrar, armar y desarmar de forma remota sus sistemas de alarma de seguridad desde una aplicación de teléfono.
Stykas dijo que la vulnerabilidad permite que cualquier persona se registre como un nuevo usuario y asigne esa cuenta a cualquier otro grupo de usuarios, incluido un grupo «raíz», que tiene acceso a todos los sistemas de alarma y dispositivos inteligentes conectados a la nube de Eaton.
La vulnerabilidad se conoce como referencia de objeto directo inseguro, o IDOR, una clase de error de seguridad que permite el acceso no controlado a archivos, datos o cuentas de usuario debido a controles de acceso débiles o faltantes en un servidor. Stykas dijo que el error era fácil de explotar usando herramientas intermedias como Burp Suite interceptando el número de grupo del nuevo usuario e intercambiándolo con el número de grupo raíz, que era simplemente «1».
Stykas dijo que agregar un usuario al grupo raíz «da acceso a todo», incluido el nombre y la dirección de correo electrónico del usuario registrado, así como la ubicación de cada sistema de alarma en la seguridad conectada. Stykas dijo que el acceso podría haber permitido a un posible atacante controlar de forma remota los sistemas de alarma de seguridad conectados a la nube de Eaton, aunque no lo intentó.
En un aviso de seguridad publicado en su sitio web, Eaton confirmó que el error se descubrió en su lógica de autorización de acceso grupal.
Jonathan Hart, vocero de Eaton, dijo que la vulnerabilidad fue reparada en mayo. Hart se negó a decir cuántos clientes de alarmas inteligentes tiene, aunque Stykas dijo que la cantidad de sistemas de alarmas inteligentes conectados a Eaton asciende a decenas de miles.
Eaton se negó a decir si la vulnerabilidad permitía el control remoto de los sistemas de alarma de seguridad conectados. Eaton dijo que la vulnerabilidad fue «verificada como un evento único», pero no dijo cómo llegó a esa conclusión o si la empresa tenía los medios técnicos, como sistemas de registro, para determinar si la vulnerabilidad ya había sido descubierta o explotada.
«Emprendedor. Aficionado incurable al twitter. Gamer. Aficionado apasionado de la cerveza. Practicante de la web. Estudiante típico».
También te puede interesar
-
Curatif lanza Piña Colada RTD
-
La guía de la NASA para astrofotografía telefónica muestra cómo capturar la aurora boreal
-
Se revela la fecha de lanzamiento de Infinix GT 20 Pro India
-
Hong Kong no verá auroras causadas por una tormenta solar, pero podría experimentar interrupciones en el transporte y el suministro eléctrico, dice el Observatorio
-
Sabrina Elba sobre el cuidado de la piel de S'Able Labs, ingredientes africanos «poderosos»