Данные о мозговой активности оказались в открытом доступе

Разработчик Аймилиос Хацистаму купил на Kickstarter «умную» маску для сна и с ужасом обнаружил, что устройство передаёт личные данные через общий сервер. Все маски использовали одинаковые логин и пароль для подключения к MQTT-серверу. Любой пользователь мог получить доступ к данным других владельцев.

Маска отслеживает электроэнцефалограмму, имеет подогрев, вибрацию, динамики и систему электростимуляции вокруг глаз. Хацистаму заметил проблему после сбоев в приложении. Изучив код, он нашёл адрес сервера и учётные данные.

Через этот сервер проходят данные всех устройств производителя. И это ещё не всё — через уязвимость можно отправлять команды на чужие маски. Например, включить звук или электростимуляцию. Производитель явно не думал о безопасности пользователей.

А вы проверяете, какие данные собирают ваши гаджеты? Делитесь в комментариях.