Uma Empresa Chinesa de IoT Expõe Mais de 2 Bilhões de Registros em um Banco de Dados Inseguro

Orvibo IoT Data Leak

Há alguns meses, o site de análise de VPN vpnMentor reuniu um grupo de pesquisadores de segurança e organizou um projeto de mapeamento da web. A equipe é liderada por Noam Rotem e Ran Locar, e sua tarefa é verificar blocos de endereços IP, procurar dados que foram expostos e entrar em contato com as pessoas responsáveis por eles para resolver o problema. Infelizmente, é justo dizer que Rotem e Locar têm estado bastante ocupados ultimamente.

Em março, por exemplo, eles encontraram um banco de dados MongoDB não seguro que continha informações pessoais de mais de 5 milhões de usuários de um aplicativo móvel de identificação de chamadas. Mais recentemente, eles descobriram 264 GB de dados expostos por uma empresa da Fortune 500 em um servidor Elasticsearch que não estava protegido por uma senha. Eles descobriram alguns outros vazamentos de dados, mas o que eles relataram em 1º de julho poderia muito bem ser o maior até o momento.

Orvibo Divulga Mais de 2 Bilhões de Registros

Mais uma vez, os dados vazados foram colocados em um servidor Elasticsearch que não estava protegido por nenhum tipo de senha, mas, segundo a Forbes , desta vez, havia também um aplicativo baseado na Web Kibana que facilitava bastante a busca pelas informações. .

Uma rápida investigação revelou que o servidor pertencia à Orvibo - uma empresa chinesa de IoT que vende de tudo, desde gavetas automáticas de cortinas a lâmpadas controladas por aplicativos móveis a bloqueios inteligentes. Depois de examinar o servidor, os especialistas perceberam que os dispositivos do Orvibo tendem a reunir muitas informações sobre seus proprietários. Havia mais de 2 bilhões de registros contendo tudo, desde endereços IP e de email, nomes de usuário e informações de agendamento a senhas, códigos de redefinição de conta e coordenadas precisas de localização geográfica.

Deve-se dizer que não há correlação entre o número de registros vazados e o número de usuários afetados, e o último permanece desconhecido por enquanto. Os dados encontrados pela Rotem e pela Locar pertencem a pessoas que vivem em todo o mundo, o que, juntamente com o fato de o Orvibo se orgulhar de ter mais de um milhão de clientes, mostra que os detalhes de algumas pessoas foram expostos. Apesar disso, a empresa de Internet das coisas chinesa não tinha pressa em fechar o banco de dados e proteger as informações dos usuários.

Orvibo Demorou a Admitir os Dados Divulgados

Como já mencionamos, o objetivo do projeto de mapeamento da web do vpnMentor não é apenas encontrar dados expostos indevidamente, mas também ajudar os proprietários dos referidos dados a acertar os registros. Com certeza, em 16 de junho, imediatamente após perceber que a instalação não segura do Elasticsearch pertence a Orvibo, Noam Rotem e Ran Locar tentaram entrar em contato com o fornecedor chinês. Nas duas semanas seguintes, os pesquisadores enviaram e-mails e tuítes continuamente para a empresa chinesa, mas, infelizmente, todas as suas tentativas de entrar em contato chegaram a um beco sem saída.

Em 1º de julho, os pesquisadores anunciaram suas descobertas publicamente e, em 24 horas, o servidor estava protegido. Parece que o Orvibo está preocupado com a segurança de seus clientes apenas quando sua imagem de RP é posta em risco, o que é realmente bastante preocupante, considerando o impacto potencial do vazamento de dados da IoT que causou.

O Vazamento no Orvibo foi um Desastre Esperando para Acontecer

Os dados expostos permitiram uma variedade de possíveis cenários de ataque que são tão amplos quanto a variedade de dispositivos que o Orvibo vende. As possibilidades para os brincalhões, em particular, eram mais ou menos infinitas. Usando os dados comprometidos, eles podiam fazer login nas contas de usuários inocentes, acender e apagar as luzes, fechar as cortinas das janelas das pessoas, ligar a TV no meio da noite com o volume definido a todo vapor e várias outras brincadeiras relativamente inofensivas.

Atacantes mais motivados poderiam ter causado muito mais dano. Como Rotem e Locar apontaram em seu relatório, as agências de inteligência do governo interessadas em um determinado indivíduo podem obter bastante informação de um banco de dados como o que o Orvibo expôs.

As práticas de armazenamento de senha da empresa de IoT também podem ter causado bastante desconforto físico para alguns de seus usuários. O fato de as credenciais de login dos usuários terem sido colocadas em um banco de dados não protegido não foi o maior problema. O maior problema foi que o Orvibo falhou em seguir algumas práticas básicas de segurança.

As senhas dos usuários foram divididas em hash com o MD5, que, como mencionamos não mais de duas semanas atrás, está terrivelmente desatualizado e não é absolutamente seguro. Pior ainda, os dados não foram protegidos com sais criptográficos, o que tornou a reversão do hash ainda mais fácil. Com a senha recuperada, havia pouco para impedir que os invasores assumissem o controle total sobre o gadget de IoT da vítima.

Porém, recuperar a senha nem era necessário em muitos casos. O banco de dados vazado continha códigos de redefinição de conta, o que significava que os hackers poderiam redefinir a senha de uma conta sem ter acesso ao email do usuário. Eles poderiam alterar o endereço de email associado à conta e deixar o proprietário completamente incapaz de acessar o painel de controle do dispositivo. O site do Orvibo se gaba de como seus produtos (entre os quais você tem fechaduras inteligentes) são perfeitos para hotéis, o que significa que o número de pessoas que poderiam ter sido colocadas em uma situação muito precária é enorme.

Proprietários de imóveis que usam as fechaduras da empresa chinesa também foram colocados em risco. O fácil acesso à conta, juntamente com os dados precisos de localização geográfica que Orvibo estava expondo, significava que os ladrões poderiam invadir as casas das pessoas com a ajuda de um navegador e um mouse de computador, em vez de ferramentas mais tradicionais, como barras de segurança e fechaduras.

O Orvibo é o próximo de uma linha muito longa de fornecedores de software e hardware que cometeram o que sem dúvida se tornou o erro de configuração mais comum. As possíveis consequências nesse caso específico foram bastante graves, mas o tratamento do problema não foi exatamente perfeito. As pessoas que administram o Orvibo podem não perceber ainda, mas sua incapacidade de resolver o problema em tempo hábil pode causar um duro golpe na imagem de relações públicas que eles estão tentando defender tão furiosamente.

January 29, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.