Een koptelefoon voor snowboard- en skihelmen blijkt de gegevens van 19.000 gebruikers te lekken en de fabrikant heeft ondanks herhaaldelijke pogingen van onderzoekers geen oplossing voor het datalek ontwikkeld. Het gaat om de Chips, een universele koptelefoon van fabrikant Outdoor Tech.
De koptelefoon wordt omschreven als een universeel en draadloos audiosysteem dat door middel van bluetooth aan de telefoon van de gebruiker te koppelen is. Het apparaat beschikt ook over een walkietalkiefunctie die mobiele data en een smartphone-app gebruikt. Zo kunnen gebruikers met andere mensen op de piste communiceren.
De walkietalkie-app bevat een zogeheten insecure direct object references (IDOR) kwetsbaarheid waardoor onderzoeker Alan Monie van securitybedrijf Pen Test Partners allerlei privégegevens van gebruikers kon opvragen. Het ging om de namen en e-mailadressen van 19.000 gebruikers, alsmede hun wachtwoordhashes en wachtwoordresetcode in plain text. Ook kon de onderzoeker het telefoonnummer van gebruikers zien en hun gps-locatie achterhalen. Tevens is het mogelijk om de walkietalkiegesprekken van gebruikers af te luisteren.
Pen Test Partners waarschuwde Outdoor Tech op 6 februari. Vijf dagen later reageerde een marketingmanager van het bedrijf. Op 13 februari stuurden de onderzoekers meer informatie over de kwetsbaarheid, maar kregen geen reactie. Een week later werd Outdoor Tech opnieuw benaderd dat het datalek geopenbaard zou worden. Wederom ontvingen de onderzoekers geen reactie.
Deze posting is gelocked. Reageren is niet meer mogelijk.