Een wereldwijd opererende fabrikant van jacuzzi's heeft via twee slecht beveiligde adminpanels de privégegevens van gebruikers en klanten gelekt. Na te zijn ingelicht duurde het maanden voordat het bedrijf de gevonden problemen verhielp. Dat meldt beveiligingsonderzoeker Eaton Zveare die het datalek ontdekte.
Jacuzzi Brands biedt onder verschillende merken jacuzzi's en zwembaden aan, waaronder Jacuzzi Hot Tubs, Sundance Spas, D1 Spas en ThermoSpas. De jacuzzi's kunnen worden uitgerust met een SmartTub-feature. Via de SmartTub-app is het onder andere mogelijk om op afstand de temperatuur, stroming en verlichting van de jacuzzi van over de hele wereld te bedienen. De jacuzzi is namelijk voorzien van een module voor een mobiele dataverbinding.
Gebruikers van de SmartTub-feature moeten eerst een account aanmaken. Zveare, die zelf een jacuzzi had aangeschaft, ontving hierbij een e-mail vanaf het domein smarttub.io. De onderzoeker dacht in eerste instantie dat dit een website was om op zijn account in te loggen, maar het bleek het adminpanel te zijn. Alleen door het aanpassen van een HTTP response lukte het Zveare om op het beheerderspaneel in te loggen.
Daar ontdekte hij allerlei gegevens van klanten en gebruikers, waaronder van spa's en sauna's die van de jacuzzi's gebruikmaken, maar ook thuisgebruikers waar de apparaten staan. Het ging onder andere om namen en e-mailadressen. Van hoeveel mensen de gegevens zijn gelekt is onduidelijk. De Android-app alleen telt meer dan tienduizend downloads.
Bij het analyseren van de SmartTub Android-app ontdekte de onderzoeker een tweede adminpanel. Dit keer wist hij door het laden van een aangepast JavaScript-bestand in te loggen en kreeg zo wederom allerlei klantgegevens te zien. Zveare waarschuwde Jacuzzi Brands december vorig jaar, maar de communicatie verliep moeizaam. Uiteindelijk zocht hij hulp van authenticatieplatform Auth0, aangezien bij één van de adminpanels daar gebruik van werd gemaakt.
Begin januari ontving de onderzoeker een reactie. Als oplossing was het adminpanel op SmartHub.io offline gehaald. Het tweede adminpanel was echter nog steeds kwetsbaar. Zveare vroeg herhaaldelijk om een reactie, maar kreeg geen bericht. Begin deze maand zag de onderzoeker dat het tweede adminpanel was beveiligd, waarop hij nu zijn bevindingen openbaar heeft gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.