Hace poco comentaba que una de las búsquedas más divertidas que se pueden hacer con el denominado “Google hacking” son las de webcams abiertas o mal configuradas, pues bien en relación al tema hace algunos días visitando sitios de hoteles en Punta del Este (un balneario de mi país) descubrí que uno muy conocido le ofrece a todos los visitantes una webcam en vivo con una panorámica de la ciudad, la vista es la siguiente:
En el momento no le presté mayor atención, pero la idea me pareció genial y dejé la página en favoritos, luego volví a entrar y noté que la cámara no estaba enfocada exactamente hacia el mismo lugar y me entró la curiosidad :D
Observando el código fuente de la página terminé en una interfaz web de administración que me permitía controlar remotamente la cámara, es decir, rotarla en cualquier dirección:
Esta interfaz simplemente es una página web creada por el programa que controla la cámara y transmite su señal en vivo por internet. El problema es que no está bien configurado y cualquiera que accede a la página puede utilizar los controles de rotación sin ningún tipo de limitación, no se trata de un hack o algún tipo de ataque, simplemente es una URL por defecto a la cual cualquiera puede acceder.
Pero eso no es lo único curioso, la webcam en cuestión tiene un zoom óptico bastante potente que más bien parece una cámara de seguridad. En la imagen anterior una de las flechas rojas marca algo en la playa que a esa distancia no se puede ver, sin embargo al hacer zoom :D
Si así se ven las chicas tomando sol a más de 100 metros, imagina como se ven las que están en la piscina climatizada del hotel mucho más cerca, o los apartamentos de los edificios vecinos…
Como comentaba anteriormente, esto no es ningún hack ni nada por el estilo, simplemente es una página de internet a la cual cualquiera puede acceder. Acá no se está vulnerando ningún sistema ni rompiendo ningún login, cualquier usuario anónimo puede controlar la cámara (notar que en las capturas aparece el texto Not logged in). Lo correcto sería que esas opciones de control remoto sólo estuvieran habilitadas para un usuario administrador que requiera de una contraseña.
Hace una semana intenté comunicarme con el hotel enviándoles un e-mail a la dirección de contacto que figura en la página, en el mensaje comentaba lo que sucedía con la cámara pero no recibí ninguna respuesta y al día de hoy todo sigue igual. Así que decidí publicarlo, tal vez no se trate de un error de configuración sino de un servicio para los turistas :)
Actualización 9/01: las opciones de control remoto de la cámara actualmente se encuentran desactivadas :)
Nueva actualización: tiempo después los controles vuelven a estar disponibles para el público.