Een Internet of Things-camera van fabrikant Guardzilla maakt gebruik van een hardcoded wachtwoord waardoor een aanvaller toegang kan krijgen tot beelden van gebruikers die de camera in de cloud opslaat. Het gaat om het cameramodel GZ521W, maar mogelijk zijn ook andere modellen kwetsbaar.

Het videobeveiligingssysteem van Guardzilla wordt aangeboden als een oplossing om woningen mee te monitoren.

Gebruikers kunnen beelden live via een smartphone-app bekijken. Daarnaast worden beelden die de bewegingsmelder maakt naar de cloud geupload. Het gaat in dit geval om de cloud van Amazon.

Tijdens een recent hackerevenement analyseerden onderzoekers van 0DayAllDay de firmware van de camera en ontdekten daarin een hardcoded wachtwoord. Met dit wachtwoord is het mogelijk om toegang te krijgen tot alle beelden die door de camera in de cloud zijn opgeslagen. Guardzilla werd op 24 oktober ingelicht, alsmede het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en securitybedrijf Rapid7.

Deze twee organisaties stuurden ook een waarschuwing naar de camerafabrikant, maar kregen geen reactie. Aangezien Guardzilla meer dan 60 dagen de tijd heeft gekregen om te reageren hebben de onderzoekers en Rapid7 besloten om de details openbaar te maken. Gebruikers van een Guardzilla IoT-camera krijgen het advies om de cloudopslag voor hun apparaat uit te schakelen.