Een beveiligingsbedrijf heeft weer een lek gevonden dat kwaadwillenden toegang had gegeven tot de data van tienduizenden smartwatches van kinderen. Het bleek mogelijk om als admin in te loggen op het webportaal van een fabrikant van kinderhorloges.
Door in het post-request bij het inloggen de waarde voor 'User(grade)' te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator, meldt PenTestPartners. Vervolgens bleek het na een kleine wijziging mogelijk om de data in te zien van 35.000 smartwatches van kinderen bij 20.000 accounts. In de backend zat geen check of een gebruiker admin-rechten zou mogen hebben.
Het is niet de eerste keer dat de backend grote kwetsbaarheden blijkt te bevatten. Eerder vond het bedrijf in 2017 al exploits.
Alles bij de bron; Tweakers