Een koptelefoon voor snowboard- en skihelmen bevat een kwetsbaarheid. Hierdoor zijn privégegevens van 19.000 gebruikers gelekt. Ondanks herhaaldelijke inspanningen van onderzoekers heeft de fabrikant Outdoor Tech verzuimd het lek te repareren.
Het betreft de universele koptelefoon Chips: een draadloos audiosysteem dat via bluetooth met de telefoon van de gebruiker verbonden kan worden. Het apparaat is tevens voorzien van een walkietalkie-functie die mobiele data en een smartphone-app gebruikt.
Insecure Direct Object References-kwetsbaarheid
De walkietalkie-app bevat echter een Insecure Direct Object References (IDOR)-kwetsbaarheid. Onderzoeker Alan Monie van securitybedrijf Pen Test Partners was daardoor in staat om privégegevens van gebruikers te onderscheppen. Onder andere namen en e-mailadressen van 19.000 gebruikers zijn gelekt, net als wachtwoordhashes en wachtwoordresetcode in plain text. Tevens had de onderzoeker de mogelijkheid om het telefoonnummer van gebruikers te zien en hun gps-locatie. Ook kon hij walkietalkie-gesprekken van gebruikers horen.
Geen reactie
Pen Test Partners waarschuwde Outdoor Tech al op 6 februari van dit jaar. Vanuit het bedrijf werd er vijf dagen later gereageerd door een marketingmanager. Op 13 februari verstrekten de onderzoekers aanvullende informatie aan Outdoor Tech over de kwetsbaarheid, waarop het bedrijf niet reageerde. Rond 20 februari kondigde Pen Test Partners aan dat ze het datalek openbaar zouden maken, maar weer volgde geen reactie van de skihelm-fabrikant.