Доклад: Orvibo Smart Home устройства изтичат милиарди записи на потребители

Изследователският екип на vpnMentor откри теч в потребителската база данни на Orvibo.

Нашият експертен изследователски екип за киберсигурност, воден от Ноам Ротем и Ран Локар, откри открита база данни, свързана с продуктите на Orvibo Smart Home. Базата данни включва над 2 милиарда дневници, които записват всичко потребителски имена, имейл адреси и пароли, до точни местоположения. Докато базата данни остава отворена, количеството на наличните данни продължава да се увеличава всеки ден.

Orvibo твърди, че има около милион потребители. Те включват частни лица, които свързали домовете си, както и хотели и други бизнеси с устройствата за интелигентен домашен уред Orvibo.

Това представлява a масово нарушаване на поверителността и сигурността с далечни последици. Нарушаването на данните засяга потребители от цял ​​свят. Намерихме дневници за потребители в Китай, Япония, Тайланд, САЩ, Великобритания, Мексико, Франция, Австралия и Бразилия. Очакваме, че има повече потребители, представени в 2 милиарда плюс дневници.

За първи път се свързваме с Orvibo по имейл на 16 юни. Когато не получихме отговор след няколко дни, ние също туитвахме компанията, за да ги сигнализираме за нарушението. Те все още не са отговорили, нито нарушението е закрито.

Update: Базата данни на Orvibo е затворена от 2 юли.

Примери за записи в базата данни

Обемът на наличните данни от сървърите на Orvibo е огромен. То е също силно специфични, което показва колко данни могат да събират умни домашни устройства за своите потребители. Според компанията има над милион потребители които са инсталирали продуктите на Orvibo в домовете и бизнеса си.

Китайската компания със седалище в Шензен произвежда 100 различни умни дома или интелигентни продукти за автоматизация.

Данни, включени в нарушението

  • Имейл адреси
  • Паролите
  • Кодове за нулиране на акаунта
  • Прецизна геолокация
  • IP адрес
  • Потребител
  • потребителско име
  • Фамилно име
  • Семейно удостоверение
  • Умно устройство
  • Устройство, което е получило достъп до акаунта
  • Информация за планиране

В този първи пример можем да видим, че Orvibo събира голямо количество данни за своите потребители. В този случай не всички точки от данни се записват; обаче имаме други примери, които включват много конкретни геоданни, избрани фамилни имена, потребителски имена, пароли и кодовете за нулиране Това ще позволи поглъщането на акаунта.

Тези регистрационни данни са за един и същ акаунт, който можем да потвърдим с съвпадащ имейл адрес и потребителски идентификационен номер. В първия, ние имаме само имейл адрес, IP адрес и код за нулиране. С този код, достъпен в данните, бихте могли лесно заключване на потребител от акаунта му, тъй като не се нуждаете от достъп до имейла им, за да нулирате паролата.

Кодът е достъпен за тези, които искат да зададат отново своя имейл адрес или парола. Това означава, че лош актьор би могъл окончателно заключете потребител от акаунта си, като промените първо паролата и след това имейл адреса. Орвибо прави някои усилия скриване на паролите, които са хеширан с помощта на md5 без сол.

Горният пример е малка извадка от вида на геолокационните данни, които имаме. Orvibo поддържа дневници с точни координати на дължина и ширина (написан латотид в данните). Прецизността на координатите може да ни доведе до точния адрес на потребителя. Това също демонстрира че техните продукти проследяват местоположението сами по себе си, вместо да определят местоположението въз основа на IP адрес.

В този запис от потребител в Мексико той показва точно към кое устройство е свързан потребителят когато данните бяха регистрирани. Според уебсайта на Orvibo, HomeMate е пълна система за интелигентен дом, която използва пълна гама от техните продукти, за да свърже целия ви дом. Това количество данни показва точно колко уязвим може да бъде потребител, ако хакерът се възползва от това нарушение.

Един от продуктите, които Orvibo предлага е a умно огледало. Това включва технология за показване на времето и показване на график. Тук, имаме дневник за графика, който потребителят е задал с персонализирано име. „Зимна седмица AM“ ни дава ясна точна информация за календара на потребителя.

Това е регистър на данните, който включва a голям брой устройства, свързани към един акаунт. Можем да видим ясен запис на потребителя с един от Умната камера на Orvibo. Друго устройство е наречено „стая за масаж“. Въпреки че не всички имена на устройството ни казват кое устройство е къде, това може да помогне на някой да определи хак на устройството, ако иска да го направи.

Етикетът „стая за масажи“ също сочи към тези данни, които вероятно принадлежат на бизнес.

Друг Дневникът на Smart Camera включва съобщение, което е записано дума за дума. Това отваря възможността на потребителя да разкрие още повече лична информация чрез акаунта си.

Важно е да се отбележи, че не всеки един регистър на данните включва всеки тип лична информация. Въпреки това, дори и с над 2 милиарда записи за търсене, имаше достатъчно информация, за да се съберат няколко нишки и създайте пълна картина на самоличността на потребителя.

Открихме няколко несъответствия в самия софтуер на Orvibo. Повечето от дневниците са създадени изцяло на английски език, което включва имена на места като пример. Въпреки това установихме, че в няколко записа има държави и градове, записани на китайски, а не на английски. Не изглеждаше никаква съгласуваност по отношение на това кога се използва китайски спрямо английски.

Въздействие на нарушаването на данни

Нарушаването на този размер има огромни последици. Всяко устройство в продуктовия каталог на Orvibo може да има различен негативен ефект върху потребителите му. На всичкото отгоре има изобилие от идентифицираща информация за потребителите. Голяма част от данните могат да бъдат събрани едновременно, за да нарушат дома на човек като евентуално води до по-нататъшни хакове.

Въпреки че Orvibo има хеширани пароли, ние сами тествахме сигурността, за да видим колко лесно е да открием истинската парола. В някои случаи, разкрихме собствената си парола, но при други не бихме могли да разбием хеша. За да тестваме това, създадохме собствен акаунт, след което потърсихме нашия имейл адрес, за да видим каква информация за профила е достъпна. Макар че избраната от нас парола беше хеширана, беше лесно да се напука. 

Ако Orvibo беше добавил сол към своите хеширани пароли, тя щеше да създаде по-сложен низ това е далеч по-трудно. Солта работи чрез добавяне на произволен низ към съществуваща парола, който след това е хеширан. От солта е неизвестна, става много трудно да се определи кое парче от паролата е истинско и кое парче е добавеният низ.

Това особено подчертава защо е толкова важно да изберете силни пароли, особено когато са свързани с устройства с несигурни нива на сигурност.

Дори и със силни пароли обаче е включена базата данни на Orvibo опасна информация. При разглеждане на техните записи открихме кодове за нулиране на акаунта в регистрационните файлове. Те ще бъдат изпратени на потребител, за да нулира паролата или имейл адреса си. С тази информация, лесно достъпна, хакер може заключете потребител от акаунта си, без да му е нужна паролата. Промяната на парола и имейл адрес може да направи действието необратимо.

Orvibo предлага широка гама от решения за свързване на вашия дом. Те обаче не включват интелигентни уреди в своите прозорци, но все пак има много щети, които могат да бъдат нанесени чрез продуктите, които имат на пазара.

Дори може да се хакне дори интелигентен гнездо, например променете нивото на потреблението на енергия на потребителя без тяхното знание. Друг сценарий включва режеща мощност чрез интелигентни щепсели, което потенциално би могло да потопи потребител в тъмнина в момент, когато той се нуждае от добро осветление. За много хора това може да бъде опасна ситуация. Ако се случи на място на дейност, от друга страна, такова събитие също би било вероятно водят до загубени приходи.

Много интелигентни домове използват свързани гнезда като тези, за да пестят енергия от уреди, които не използват. Ако някой трябва да промени настройките на гнездо без знанието на потребителя, това може да доведе до ситуация, при която основен уред, като фурна, ще се включи и загрява без надзор.

Подобна е ситуацията и при интелигентните превключватели на светлината. Въпреки че оставянето на светлините, оставени на ненужно, може да не е катастрофа, това може да увеличи консумацията на енергия по фин, но въздействащ начин. Тъй като промяната не би била драстична, тя също би могла да я направи по-предизвикателна. За по-драстична промяна човек би могъл да поеме системата HVAC, която изразходва значително повече енергия от светлините или моторизираните завеси. Дори бързото изключване и включване на тези уреди може да повреди електрическите им вериги и да счупи двигателите им.

Orvibo обаче не е насочен само към отделни домове. Те също имат различни профили за офиси и хотели. Промяната на настройките за електричество в офис сграда или хотел ще има много по-значителен ефект. Това може бързо яжте за по-малка печалба на компанията като същевременно е трудно да се разбере защо разходите им са толкова високи.

Има обаче други устройства, чиято лоша сигурност може да има по-тежки последици. Редица устройства, предлагани от Orvibo, попадат под чадъра на „домашната сигурност“. Те включват интелигентни брави, камери за домашна сигурност и пълни комплекти за интелигентен дом. С изтичащата информация, това е ясно няма нищо сигурно за тези устройства. Дори инсталирането на едно от тези устройства може да подкопае физическата ви сигурност, вместо да подобри.

Има достатъчно информация, изтекла от базата данни, която прави поемането на акаунта на потребителя е достатъчно проста задача. Злобен актьор може лесно достъп до видео емисия от една от интелигентните камери на Orvibo чрез влизане в акаунта на друг потребител с идентификационните данни, намерени в базата данни. В същото време би било лесно отключи врата от същия акаунт. С прецизна геолокация това опростява пробивите в дома, събитие, умни домове се предполага, че ще помогне да се защити.

Данните, по които текат устройствата на Orvibo, излизат дори отвъд интелигентните брави и охранителните камери. Едно от другите им устройства е интелигентно огледало, което включва вградени метеорологични дисплеи, както и календар. Както видяхме в данните по-горе, някои потребителите имаха много подробна информация за своите графици, записани през интелигентното огледало. Трябва ли някой да иска следвайте потребител извън дома им, той може да намери необходимата информация да направите това чрез комбиниране на данните за планиране в базата данни. Можем да видим име на график, както и записи на времето, които включват седмицата, деня и часа, до втората.

Други две устройства, които Orvibo произвежда, попадат под чадъра на Home Entertainment. Едно устройство е Wifi контролерът Magic Cube; друг е контролерът ZigBee. На най-основното ниво хакерът би могъл поемете контрола над тези устройства, за да съсипете потребителска телевизия или филмово изживяване. Въпреки това, с лесно управление на телевизора, хакер може да го включи и да увеличи силата на звука в неудобно време. Всеки би могъл да се окаже на линия за смущения в шума, дори да не са знаели за хака. Въздействието обаче се променя и нараства, когато жертвата е бизнес.

Хакерите могат лесно вземете цялата мрежа офлайн с напълно свързан набор от тези интелигентни предмети за дома. Това би довело до a директна загуба на приходи, съчетана със загуба на доверие на клиентите. Когато цяла сграда или жилище разчита на свързана технология за сигурност, прекъсването може да спре цялата операция.

Това е нарастващ проблем когато става въпрос за това, което се нарича Интернет на нещата. Това се отнася за всички интелигентни устройства, които комуникират помежду си чрез интернет връзка. Като индустрия, която все още е сравнително млада, обаче има много проблеми със сигурността, които трябва да бъдат решени от производителите докато все още могат.

Интернет на нещата не представлява само риск за сигурността. Въпреки че виртуалните акаунти на всеки могат да бъдат застрашени от теч на данни, който свързва имейла, паролите и местоположението му, той също подкопава тяхната поверителност. Много потребители може да не са толкова загрижени държавен надзор, но за тези, които са, базите данни като Orvibo могат да нарисуват подробна картина на живота на потребителя.

Съвети от експертите

Има няколко мерки за сигурност че Орвибо би могъл да предприеме това, което би помогнало да се предотврати това нарушение. По-долу можете да намерите няколко основни съвета, които могат да ви помогнат да предотвратите или закърпите уязвима база данни.

  1. Защитете сървърите си.
  2. Прилагайте правилни правила за достъп.
  3. Никога не оставяйте отворена за интернет система, която не изисква удостоверяване.

За по-задълбочено ръководство за това как да защитите бизнеса си, вижте как да защитите вашия уебсайт и онлайн база данни от хакери.

Как открихме нарушението

Открихме това нарушение като част от нашето проект за уеб-картиране. Нашият екип от експерти по киберсигурност изследва портове, търсейки известни IP блокове. Използвайки тези блокове, Noam и Ran могат да търсят уязвимости в уеб система. Когато екипът открие изтекли данни, те използват техническото си разбиране, за да потвърдят на кого принадлежи базата данни.

След намиране на теч, ние се свързваме със собственика на базата данни за да ги предупреди за уязвимостите в системата. Когато е възможно, ще се свържем и със засегнатите от нарушаването на данните. Нашата цел с този проект е да насърчаване на безопасен и сигурен интернет за всички потребители.

За нас и предишни отчети

vpnMentor е най-големият уебсайт за преглед на VPN в света. Нашата изследователска лаборатория е про bono услуга, към която се стремим помогнете на онлайн общността да се защити срещу кибер заплахи, докато обучават организации за защита на данните на своите потребители.

Наскоро открихме огромно нарушение на данните, засягащо 78 хиляди пациенти, приемащи Vascepa. Също така разкрихме, че xSocialMedia претърпя широко нарушение на данните. Можете също така да прочетете нашия отчет за течове на VPN и отчет за статистиката на поверителност на данните.

Моля те споделете този доклад във Facebook или туитвай го.