Свыше 80000 цифровых видеорегистраторов имеют пароли, которые невозможно изменить. В некоторых случаях пароли отсутствуют вовсе. В отчете, представленном компанией Risk-Based Security, указано, что большая часть устройств видеозаписи имеет по крайней мере одну уязвимость, которая дает хакерам возможность заполучить доступ к конфиденциальным данным.
Эксперты Risk-Based Security проанализировали цифровые видеорегистраторы Zhuhai RaySharp. В данных устройствах применяются логин root и пароль 519070, которые нельзя изменить. Проблему удалось обнаружить еще в сентябре прошлого году, однако исправленная версия прошивки до сих пор не выпущена разработчиком. С помощью поисковика устройств Shodan исследователями Risk-Based Security было выявлено около 46000 уязвимых видеорегистраторов.
Для того, чтобы провести аутентификацию пользователя, применяется функция main() в специальном CGI-сценарии. Введенная информация сверяется с неизменяемыми учетными данными. В случае совпадения пользователь получает полный доступ к веб-интерфейсу.
Идентичная проблема была зафиксирована в устройствах Mvpower 8. Регистратор не запрашивал пароль для доступа к веб-интерфейсу. Уязвимость была обнаружена исследователями PenTestPartners. Благодаря Shodan было выявлено около 40000 устройств с данной уязвимостью.