Cámaras web con credenciales por defecto

Hace tiempo, en este mismo blog publicaba el artículo Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet en donde decía que la vulnerabilidad en dichas cámaras permite a cualquier usuario evadir (hacer bypass) la protección de control de acceso (usuario y contraseña) que proporciona el servidor web que controla el servicio de streaming del vídeo que esta recibiendo la cámara web.

Además, en nuestro blog amigo SecurityByDefault hicieron una muy buena entrada hace ya unos años: CÁMARAS IP DE VIDEOVIGILANCIA: SEGURIDAD Y PROTECCIÓN, O INSEGURIDAD Y EXPOSICIÓN


Pero en este caso no vengo a traer la explotación a una vulnerabilidad, sino que vengo a repetir lo que los especialistas en Seguridad Informática decimos siempre: No olvidar cambiar las credenciales que vienen por defecto en los sistemas.

Hace unos días estaba navegando por la red y me encontré con una URL donde se publica la transmisión de una radio. Hasta ahí todo está correcto, ya que si se desean transmitir las imágenes de la radio, no hay ningún problema.


Pero el inconveniente radica en que la administración de esta cámara (como de tantas otras) contiene credenciales de administración fácilmente adivinables, lo cual permite que cualquier usuario modifique libremente los parámetros de la cámara a su gusto.


Desde ya, como corresponde a un profesional, se cumplió en reportar esta falla sin haberla hecha pública ya que, como yo pude entrar y mis fines eran bien intencionados, otra persona podría usar esta información con fines mal intencionados.

Pero luego de reportar esto hace exactamente 3 meses a los correos que se encuentran disponibles y públicos en internet y que no hayan tenido la intención de simplemente cambiar el usuario y/o la contraseña, traigo este caso como un mero ejemplo, pero sin brindar datos confidenciales, de lo que pasa hoy en día.

Lamentablemente a veces en auditorías y/o consultorías de seguridad nos encontramos con casos como este. Sin importar la envergadura de las compañías, a veces son casos no tan críticos pero en otros sí.

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting