Onderzoekers hebben in ip-camera's van fabrikanten Loftek en VStarcam een groot aantal lekken ontdekt waardoor aanvallers de apparaten op afstand kunnen overnemen en een update is niet beschikbaar. De problemen zijn mogelijk ook in de ip-camera's van andere fabrikanten aanwezig.

In het geval van de eerder twee genoemde fabrikanten gaat het om de Loftek CXS 2200 en VStarcam C7837WIP. Onderzoekers van securitybedrijf Checkmarx ontdekten in totaal 21 kwetsbaarheden, waarvan er vijf al eerder in andere ip-camera's waren gevonden (pdf). De apparaten worden onder andere geleverd met standaardwachtwoorden die gebruikers niet hoeven te veranderen. Daarnaast zijn de ip-camera's standaard via het internet toegankelijk.

Verder bleek de apparatuur kwetsbaar voor stored cross-site scripting en server-side request forgery. De Android-app die bij de camera's hoort bevat volgens de onderzoekers malware en maakt bij het versturen van inloggegevens geen gebruik van encryptie. Beide fabrikanten werden eind maart over de kwetsbaarheden ingelicht, maar de onderzoekers ontvingen geen reactie. Het probleem is waarschijnlijk niet tot Loftek en VStarcam beperkt. Via de zoekmachine Shodan ontdekten de onderzoekers in totaal 1,3 miljoen ip-camera's die nagenoeg dezelfde software en hardware gebruiken en zeer waarschijnlijk ook kwetsbaar zijn.