中國物聯網公司在不安全的數據庫中暴露了超過20億條記錄

幾個月前，VPN評論網站vpnMentor聚集了一群安全研究人員並組織了一個網絡映射項目。該團隊由Noam Rotem和Ran Locar領導，他們的任務是掃描IP地址塊，查找已公開的數據，並與負責人的人聯繫以解決問題。不幸的是，可以說Rotem和Locar最近一直很忙。

例如，在3月份，他們發現了一個不安全的MongoDB數據庫，該數據庫保存了一個來電顯示移動應用程序超過500萬用戶的個人信息。最近，他們發現財富500強企業在Elasticsearch服務器中暴露了264GB的數據，這些數據不受密碼保護。他們發現了一些其他數據洩漏，但他們在7月1日報導的那個可能是迄今為止最大的一個。

奧維博洩漏了超過20億條記錄

再一次，洩露的數據被放在沒有任何密碼保護的Elasticsearch服務器上，但根據福布斯的說法 ，這次還有一個基於Web的Kibana應用程序，它使搜索信息變得更加容易。

一項快速調查顯示該服務器屬於Orvibo--一家中國物聯網公司，銷售從自動窗簾抽屜到通過移動應用控制的燈泡到智能鎖的所有產品。在檢查了服務器後，專家意識到Orvibo的設備往往會收集很多關於其所有者的信息。有超過20億條記錄包含IP和電子郵件地址，用戶名以及密碼，帳戶重置代碼和精確地理位置坐標的日程安排信息。

必須說洩漏記錄的數量與受影響的用戶數量之間沒有相關性，後者目前尚不清楚。 Rotem和Locar發現的數據屬於居住在世界各地的個人，然而，再加上Orvibo擁有超過一百萬客戶的事實，這表明很多人的細節都暴露了. 儘管如此，中國物聯網公司並不急於關閉數據庫並保護用戶信息。

Orvibo花時間保護洩露的數據

正如我們已經提到的，vpnMentor的web映射項目的目標不僅是找到錯誤暴露的數據，而且還幫助所述數據的所有者直接記錄。果然，在6月16日，在意識到無擔保的Elasticsearch安裝屬於Orvibo後，Noam Rotem和Ran Locar試圖與中國供應商取得聯繫。在接下來的兩周里，研究人員不斷通過電子郵件發送和推特這家中國公司，但不幸的是，他們試圖聯繫的所有嘗試都達到了死胡同。

7月1日，研究人員公開宣布了他們的調查結果，並在24小時內確保服務器安全。似乎Orvibo只關注其客戶的安全性，只有當其PR圖像處於危險之中時，考慮到其引起的物聯網數據洩漏的潛在影響，這實在令人擔憂。

奧維博洩漏是一場等待發生的災難

暴露的數據啟用了一系列可能的攻擊場景，其範圍與Orvibo銷售的設備範圍一樣廣泛。特別是，漫畫者的可能性或多或少是無窮無盡的。使用受到破壞的數據，他們可以登錄無辜的用戶帳戶，打開和關閉燈光，繪製人們的窗簾，在半夜打開電視，音量設置為全爆，以及其他一些人相對無害的惡作劇。

但是，更有動力的攻擊者可能會造成更多傷害。正如Rotem和Locar在他們的報告中所指出的那樣，對特定個人感興趣的政府情報機構可以從諸如Orvibo暴露的數據庫中獲得大量信息。

物聯網公司的密碼存儲實踐也可能對其部分用戶造成很大的身體不適。用戶的登錄憑據放在不受保護的數據庫中這一事實並不是最大的問題。最大的問題是Orvibo未能遵循一些非常基本的安全措施。

用戶的密碼是用MD5進行的，正如我們在兩週前提到的那樣，它已經過時了，而且根本不是非常安全。更糟糕的是，數據沒有受到加密鹽的保護，這使得反轉哈希變得更加容易。使用恢復的密碼，幾乎沒有什麼可以阻止攻擊者完全控制受害者的物聯網小工具。

但是，在許多情況下甚至不需要恢復密碼。洩露的數據庫包含帳戶重置代碼，這意味著黑客可以重置帳戶的密碼而無需訪問用戶的電子郵件。然後，他們可以更改與該帳戶關聯的電子郵件地址，並使所有者完全無法訪問該設備的控制面板。奧維博自己的網站吹噓其產品（其中有智能鎖）是如何完美的酒店，這意味著可能在非常危險的情況下的人數是巨大的。

使用中國公司鎖的房主也面臨風險. 簡單的帳戶訪問加上精確的地理位置數據Orvibo暴露意味著竊賊可以藉助瀏覽器和計算機鼠標而不是更多傳統工具（如撬棍和鎖鎬）闖入人們的房屋。

Orvibo是眾多軟件和硬件供應商中的下一代產品，它們無疑已成為最常見的配置錯誤 。在這個特殊情況下的潛在後果非常嚴重，但問題的處理並不完美。運行奧維博的人可能還沒有意識到這一點，但是他們無法及時解決問題可能會對他們試圖如此瘋狂地捍衛的公關形象造成巨大打擊。