中国物联网公司在不安全的数据库中暴露了超过20亿条记录

Orvibo IoT Data Leak

几个月前,VPN评论网站vpnMentor聚集了一群安全研究人员并组织了一个网络映射项目。该团队由Noam Rotem和Ran Locar领导,他们的任务是扫描IP地址块,查找已公开的数据,并与负责人的人联系以解决问题。不幸的是,可以说Rotem和Locar最近一直很忙。

例如,在3月份,他们发现了一个不安全的MongoDB数据库,该数据库保存了一个来电显示移动应用程序超过500万用户的个人信息。最近,他们发现财富500强企业在Elasticsearch服务器中暴露了264GB的数据,这些数据不受密码保护。他们发现了一些其他数据泄漏,但他们在7月1日报道的那个可能是迄今为止最大的一个。

奥维博泄漏了超过20亿条记录

再一次,泄露的数据被放在没有任何密码保护的Elasticsearch服务器上,但根据福布斯的说法 ,这次还有一个基于Web的Kibana应用程序,它使搜索信息变得更加容易。

一项快速调查显示该服务器属于Orvibo--一家中国物联网公司,销售从自动窗帘抽屉到通过移动应用控制的灯泡到智能锁的所有产品。在检查了服务器后,专家意识到Orvibo的设备往往会收集很多关于其所有者的信息。有超过20亿条记录包含IP和电子邮件地址,用户名以及密码,帐户重置代码和精确地理位置坐标的日程安排信息。

必须说泄漏记录的数量与受影响的用户数量之间没有相关性,后者目前尚不清楚。 Rotem和Locar发现的数据属于居住在世界各地的个人,然而,再加上Orvibo拥有超过一百万客户的事实,这表明很多人的细节都暴露无遗。尽管如此,中国物联网公司并不急于关闭数据库并保护用户信息。

Orvibo花时间保护泄露的数据

正如我们已经提到的,vpnMentor的web映射项目的目标不仅是找到被错误暴露的数据,而且还帮助所述数据的所有者直接记录。. 果然,在6月16日,在意识到无担保的Elasticsearch安装属于Orvibo后,Noam Rotem和Ran Locar试图与中国供应商取得联系。在接下来的两周里,研究人员不断通过电子邮件发送和推特这家中国公司,但不幸的是,他们试图联系的所有尝试都达到了死胡同。

7月1日,研究人员公开宣布了他们的调查结果,并在24小时内确保服务器安全。似乎Orvibo只关注其客户的安全性,只有当其PR图像处于危险之中时,考虑到其引起的物联网数据泄漏的潜在影响,这实在令人担忧。

奥维博泄漏是一场等待发生的灾难

暴露的数据启用了一系列可能的攻击场景,其范围与Orvibo销售的设备范围一样广泛。特别是,漫画者的可能性或多或少是无穷无尽的。使用受到破坏的数据,他们可以登录无辜的用户帐户,打开和关闭灯光,绘制人们的窗帘,在半夜打开电视,音量设置为全爆,以及其他一些人相对无害的恶作剧。

但是,更有动力的攻击者可能会造成更多伤害。正如Rotem和Locar在他们的报告中所指出的那样,对特定个人感兴趣的政府情报机构可以从诸如Orvibo暴露的数据库中获得大量信息。

物联网公司的密码存储实践也可能对其部分用户造成很大的身体不适。用户的登录凭据放在不受保护的数据库中这一事实并不是最大的问题。最大的问题是Orvibo未能遵循一些非常基本的安全措施。

用户的密码是用MD5进行的,正如我们两周前提到的那样,它已经过时了,而且根本不是非常安全。更糟糕的是,数据没有受到加密盐的保护,这使得反转哈希变得更加容易。使用恢复的密码,几乎没有什么可以阻止攻击者完全控制受害者的物联网小工具。

但是,在许多情况下甚至不需要恢复密码。泄露的数据库包含帐户重置代码,这意味着黑客可以重置帐户的密码而无需访问用户的电子邮件。然后,他们可以更改与该帐户关联的电子邮件地址,并使所有者完全无法访问该设备的控制面板。奥维博自己的网站吹嘘其产品(其中有智能锁)是如何完美的酒店,这意味着可能在非常危险的情况下的人数是巨大的。

使用中国公司锁的房主也面临风险。简单的帐户访问加上精确的地理位置数据Orvibo暴露意味着窃贼可以借助浏览器和电脑鼠标而不是更多传统工具(如撬棍和锁镐)闯入人们的房屋。

Orvibo是众多软件和硬件供应商中的下一代产品,它们无疑已成为最常见的配置错误 。在这个特殊情况下的潜在后果非常严重,但问题的处理并不完美. 运行奥维博的人可能还没有意识到这一点,但是他们无法及时解决问题可能会对他们试图如此疯狂地捍卫的公关形象造成巨大打击。

July 16, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 10是什么?