Jelentés: Az Orvibo intelligens otthoni eszközök milliárd felhasználói nyilvántartást szivárognak
A vpnMentor kutatócsoportja szivárgást talált az Orvibo felhasználói adatbázisában.
Noam Rotem és Ran Locar vezetésével szakértő kiberbiztonsági kutatócsoportunk felfedezte az Orvibo Smart Home termékekhez kapcsolódó nyílt adatbázist. Az adatbázis több mint 2 milliárd naplót tartalmaz, amelyek mindent rögzítenek felhasználónevek, e-mail címek és jelszavak a pontos helyre. Mindaddig, amíg az adatbázis nyitva van, a rendelkezésre álló adatok mennyisége folyamatosan növekszik minden nap.
Az Orvibo állítása szerint körülbelül egymillió felhasználója van. Ide tartoznak azok a magánszemélyek, akik összekapcsolta otthonaikat, valamint szállodák és egyéb vállalkozások az Orvibo okos otthoni eszközökkel.
Ez egy a a magánélet és a biztonság súlyos megsértése messzemenő következményekkel. Az adatsértés érinti felhasználók a világ minden tájáról. Naplókat találtunk Kínában, Japánban, Thaiföldön, az Egyesült Államokban, az Egyesült Királyságban, Mexikóban, Franciaországban, Ausztráliában és Brazíliában. Arra számítunk, hogy több felhasználó képviselteti magát a 2 milliárd plusz naplóban.
Az Orvibóval először e-mailben lépünk kapcsolatba június 16-án. Amikor néhány nappal később nem kaptunk választ, azt a tweetelt is küldtük, hogy figyelmeztessük őket a jogsértésre. Még mindig nem válaszoltak, és a jogsértést sem zárták le.
frissítés: Az Orvibo adatbázis lezárult Július 2.
Példák az adatbázisba történő bejegyzésekre
Az Orvibo szerverein elérhető adatmennyiség óriási. Ez is nagyon specifikus, amely megmutatja, hogy az intelligens otthoni eszközök mennyi adatot tudnak gyűjteni a felhasználókról. A cég szerint vannak több mint egymillió felhasználó akik telepítették az Orvibo termékeket otthonaikba és vállalkozásukba.
A Shenzenben található székhelyű kínai vállalat gyárt 100 különböző intelligens otthon vagy intelligens automatizálási termék.
A jogsértésben szereplő adatok
- Email címek
- jelszavak
- Fiók visszaállítási kódjai
- Pontos földrajzi helyzet
- IP-cím
- Felhasználónév
- Felhasználói azonosító
- Családnév
- Család-azonosító
- Intelligens eszköz
- A fiókhoz hozzáférő eszköz
- Ütemezési információk
Ebben az első példában láthatjuk, hogy az Orvibo nagy mennyiségű adatot gyűjt a felhasználóiról. Ebben az esetben nem minden adatpont kerül rögzítésre; van azonban más példák is, amelyekbe beletartozik adott földrajzi adatok, a kiválasztott családnevek, felhasználónevek, jelszavak és az alaphelyzetbe állító kódok ez lehetővé tenné a számla átvételét.
Ezek az adatnaplók ugyanarra a fiókra vonatkoznak, amelyeket ellenőrizhetünk a egyező e-mail cím és felhasználói azonosító szám. Az elsőben csak a e-mail cím, IP cím és egy visszaállítási kód. Ha ez a kód elérhető az adatokban, akkor könnyedén megteheti zárolja ki a felhasználót a fiókjából, mivel a jelszó visszaállításához nincs hozzáférése e-mailbe.
A kód azok számára érhető el, akik vissza akarják állítani e-mail címüket vagy jelszavaikat. Ez azt jelenti, hogy egy rossz színész megteheti véglegesen zárolhatja a felhasználót a fiókjából, először a jelszó, majd az e-mail cím megváltoztatásával. Orvibo erőfeszítéseket tesz a jelszavak elrejtése, amelyek hasítva md5-vel só nélkül.
A fenti példa egy kis mintát tartalmaz a meglévő földrajzi helymeghatározási adatokról. Orvibo a pontos hosszúsági és szélességi koordináták naplóját tartja (spelt latotide az adatokban). A koordináták pontossága a felhasználó pontos címéhez vezethet. Ez azt is bizonyítja hogy termékeik nyomon követik a helyet a helyük IP-cím alapján történő meghatározása helyett.
A mexikói felhasználó ebben a bejegyzésében pontosan megmutatja amelyhez a felhasználó csatlakozik amikor az adatokat naplózta. Az Orvibo webhelye szerint a HomeMate egy teljes intelligens otthoni rendszer, amely a termékek teljes skáláját alkalmazza az egész otthoni csatlakozáshoz. Ez az adatmennyiség csak mutatja milyen veszélyeztetett lehet a felhasználó, ha egy hackerek kihasználják ezt a jogsértést.
Az Orvibo által kínált egyik termék a okos tükör. Ide tartozik az időjárás és az ütemterv megjelenítésére szolgáló technológia. Itt, van naplója a felhasználó által testreszabott névvel beállított ütemezésről. Az AM téli hét pontos információkat szolgáltat nekünk a felhasználó naptáráról.
Ez egy adatnapló, amely tartalmazza a nagy számú eszköz csatlakozik egyetlen fiókhoz. Világos nyilvántartást láthatunk arról, hogy a felhasználó rendelkezik az egyikével Az Orvibo okos fényképezőgépe. Egy másik eszközt „masszázsszobának” neveznek. Bár nem minden eszköznév mondja el nekünk, hogy melyik eszköz hol található, ez segíthet valakinek az eszköz feltörésében, ha azt akarják..
A „masszázs szoba” címke ezen adatokra is utal, amelyek valószínűleg egy vállalkozáshoz tartoznak.
Egy másik Az Intelligens fényképezőgép naplója tartalmazott egy üzenetet, amelyet szóról szóra rögzítettek. Ez lehetővé teszi a felhasználó számára, hogy még több személyes információt tár fel fiókján keresztül.
Fontos megjegyezni, hogy nem minden adatnapló tartalmazott minden típusú személyes információt. Még akkor is, ha vége 2 milliárd lemez átkutatni, elegendő információ állt rendelkezésre, hogy több szálat össze lehessen állítani és készítsen teljes képet a felhasználó személyazonosságáról.
Számos következetlenséget találtunk az Orvibo szoftverében. A legtöbb napló teljes egészében angolul készült, amely példaként tartalmazza a helyneveket. Ugyanakkor azt is megállapítottuk, hogy több nyilvántartásban az országok és városok inkább kínai, mint angol nyelven készültek. A jelek szerint nem volt konzisztencia abban, hogy mikor használták a kínai nyelvet az angolul szemben.
Az adatok megsértésének hatása
Ennek a méretnek a megsértése hatalmas következményekkel jár. Az Orvibo termékkatalógusában szereplő minden eszköz eltérő negatív hatást gyakorolhat felhasználóira. Ez a legfontosabb, hogy rengeteg azonosító információ áll rendelkezésre a felhasználókról. Sok az adatok összeilleszthetők mind az ember otthona megzavarása érdekében miközben esetleg további csapásokhoz vezet.
Noha az Orvibo hash jelszavait hasítja, mi magunk is teszteltük a biztonságot, hogy megnézzük, milyen könnyű volt felfedezni az igazi jelszót. Egyes esetekben, felfedtük a saját jelszavunkat, de másokban nem sikerült megtörni a kivonatot. Ennek tesztelése érdekében létrehoztuk saját fiókunkat, majd megkerestük az e-mail címünket, hogy megnézhessük, milyen fiókinformációk állnak rendelkezésre. Bár a választott jelszót kivágták, könnyű volt megtörni.
Ha az Orvibo sót adott volna a hash jelszavakhoz, akkor létrejött volna egy összetettebb húr ezt sokkal nehezebb megtörni. A só úgy működik, hogy egy véletlenszerű karakterláncot ad meglévő jelszóhoz, amelyet ezután összevágnak. Mivel a só ismeretlen, nagyon nehéz meghatározni, hogy a jelszó melyik része valódi, és melyik volt a hozzáadott karakterlánc.
Ez különösen kiemeli miért olyan fontos az erős jelszavak kiválasztása?, különösen akkor, ha bizonytalan biztonságú eszközökhöz kapcsolódnak.
Erős jelszavakkal is, az Orvibo adatbázisa is benne van veszélyes információ. A nyilvántartásaik vizsgálata során megtaláltuk fiók visszaállítási kódjai az adatnaplókban. Ezeket a felhasználókat elküldik a jelszó vagy az e-mail cím visszaállításához. Ha ez az információ könnyen hozzáférhető, a hackerek megtehetik zárolja ki a felhasználót a fiókjából anélkül, hogy a jelszavát kellene megadnia. A jelszó és az e-mail cím megváltoztatása a műveletet visszafordíthatatlanná teheti.
Az Orvibo széles körű megoldást kínál házának összekapcsolására. Az intelligens eszközöket még nem foglalják magukba, de még mindig vannak sok károkat lehet tenni a termékeik révén, amelyek a piacon vannak.
Még egy okos aljzatra is csapkodhat megváltoztathatja a felhasználó energiafogyasztását tudásuk nélkül. Egy másik forgatókönyv magában foglalja energiafogyasztás intelligens dugaszokon keresztül, ami potenciálisan belemerítheti a felhasználót a sötétségbe abban az időben, amikor jó megvilágításra van szükségük. Sok ember számára ez veszélyes helyzet lehet. Másrészt, ha az üzleti helyszínen zajlik, ilyen esemény szintén valószínű elveszített bevételhez vezet.
Sok okos ház ilyen csatlakoztatott aljzatot használ, hogy energiát takarítson meg a nem használt készülékeken. Ha valaki a felhasználó tudta nélkül megváltoztatja egy aljzat beállításait, az olyan helyzethez vezethet, hogy egy nagyobb készülék, például sütő, felügyelet nélkül bekapcsol és felmelegszik.
Hasonló a helyzet az intelligens világításkapcsolók esetében. Noha a lámpák felesleges bekapcsolása nem lehet katasztrófa, ez finom, de hatásos módon növelheti az energiafogyasztást. Mivel a változás nem lenne drasztikus, ez még nagyobb kihívást is jelenthet a fogásban. A drasztikusabb változások érdekében át lehet venni a HVAC rendszert, amely lényegesen több energiát fogyaszt, mint a lámpák vagy a motoros függönyök. Még ezeknek a készülékeknek a gyors kikapcsolása és kikapcsolása károsíthatja az áramköröket és meghibásodhat a motorok.
Az Orvibo nemcsak az egyedi otthonokat célozza meg. Megkülönböztetett profilokkal rendelkeznek irodák és szállodák számára is. Az irodaház vagy a szálloda villamosenergia-beállításainak megváltoztatása sokkal jelentősebb hatást gyakorol. Ez gyorsan enni egy kisebb társaság nyereségéhez miközben nehéz kitalálni, miért vannak ilyen költségek.
Vannak azonban egyéb eszközök, amelyek gyenge biztonsága súlyosabb következményekkel járhat. Az Orvibo által kínált számos eszköz az „otthoni biztonság” égisze alá tartozik. Ide tartoznak intelligens zárak, otthoni biztonsági kamerák és teljes intelligens otthoni készletek. A kiszivárgott információkkal egyértelmű nincs semmi biztonságos ezekről az eszközökről. Még ha ezen eszközök egyikét is telepíti, alááshatja, nem pedig fokozhatja fizikai biztonságát.
Elegendő információ szivárog az adatbázisból, amelyet készít elég egyszerű feladat a felhasználói fiók átvétele. Egy rosszindulatú színész könnyen megteheti elérheti a videocsatornát az Orvibo egyik intelligens kamerájából egy másik felhasználó fiókjának megadásával az adatbázisban található hitelesítő adatokkal. Ugyanakkor könnyű lenne kinyit egy ajtót ugyanabból a számlából. A pontos földrajzi helymeghatározással ez egyszerűsíti az otthoni betöréseket, egy olyan esemény, amelyet az intelligens otthonok segítenek védeni.
Az Orvibo készülékeinek szivárogtatott adatai túlmutatnak az intelligens zárokon és a biztonsági kamerákon. Egyik másik eszközük egy intelligens tükör, amelybe beépített időjárás-kijelzők és naptár tartozik. Mint láttuk a fenti adatokban, néhányat A felhasználók nagyon részletes információkkal rendelkeztek az intelligens tükrön rögzített ütemezésükről. Ha valaki akar követni egy felhasználót otthonukon kívül, megtalálhatják a szükséges információkat ezt úgy teheti meg, hogy az ütemezési adatokat az adatbázisba fésüli. Megtekinthetjük a ütemterv neve, valamint az időadatok, amelyek tartalmazzák a hetet, a napot és az időt, a másodikig.
Két másik eszköz, amelyet az Orvibo gyárt, a házimozire esik. Az egyik eszköz a Magic Cube Wifi vezérlő; egy másik a ZigBee vezérlő. A legalapvetőbb szintjén a hackerek képesek voltak átvegye az irányítást ezen eszközök felett, hogy tönkretegye a felhasználók tévékészülékeit vagy filmjeit. A tévék könnyű vezérlésével azonban a hackerek bekapcsolhatják és kényelmetlen időben növelhetik a hangerőt. Bárki megtalálhatja magát a sorban zajzavarok, még akkor sem, ha nem voltak tudatában a hackelésnek. A hatás azonban megváltozik és növekszik, ha az áldozat vállalkozás.
A hackerek könnyen az egész hálózat offline állapotba helyezése az intelligens otthoni cikkek teljesen csatlakoztatott készletével. Ennek eredményeként a közvetlen bevételkiesés, vevői bizalom elvesztésével párhuzamosan. Amikor egy egész épület vagy ház a biztonság érdekében csatlakoztatott technológiára támaszkodik, egy leállás megállíthatja az egész műveletet.
Ez egyre növekvő probléma amikor a dolgok internetére hívjuk. Ez az összes okos eszközre vonatkozik, amelyek internetkapcsolaton keresztül kommunikálnak egymással. Mint iparág, amely még mindig viszonylag fiatal, nagyon sok van biztonsági kérdések, amelyeket a gyártóknak meg kell oldaniuk míg még mindig képesek.
A tárgyak internete nemcsak biztonsági kockázatot jelent. Bár bárki virtuális fiókját fenyegetheti az adatszivárgás, amely összekapcsolja e-mailjeiket, jelszavukat és helyüket, ez is aláássa magánéletüket. Sok felhasználó nem feltétlenül aggódik amiatt kormányzati felügyelet, de azoknak, akik vannak, az adatbázisok, mint például az Orvibo, részletes képet készíthetnek a felhasználó életéről.
A szakértők tanácsai
Vannak több biztonsági intézkedés amit az Orvibo megtehetett volna, ez elősegítette volna a megsértés megelőzését. Az alábbiakban talál néhány alapvető tippet, amelyek segítenek megakadályozni vagy javítani egy sebezhető adatbázist.
- Biztosítsa szervereit.
- Végezzen el megfelelő hozzáférési szabályokat.
- Soha ne hagyja az Internet számára nyitva egy olyan rendszert, amely nem igényel hitelesítést.
Még részletesebb útmutatást talál a vállalkozásának védelméről, olvassa el webhelyének és online adatbázisának a hackerek elleni védelmét.
Hogyan fedeztük fel a jogsértést
Ezt a megsértést fedeztük fel webes térképezési projekt. A kiberbiztonsági szakértőink csoportja megvizsgálja az ismert IP blokkokat kereső portokat. Ezen blokkok segítségével a Noam és a Ran kereshet réseket egy webes rendszerben. Amikor a csapat felfedezi a kiszivárogtatott adatokat, technikai megértésükkel igazolják, hogy ki tartozik az adatbázis.
Miután szivárgást talált, felvesszük a kapcsolatot az adatbázis tulajdonosával figyelmeztetni őket a rendszer sebezhetőségére. Amikor lehetséges, felvesszük a kapcsolatot azokkal is, akiket az adatsértés sújt. Ennek a projektnek a célja az, hogy: biztonságos és biztonságos internet előmozdítása minden felhasználó számára.
Rólunk és korábbi jelentések
A vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutató laborunk egy pro bono szolgáltatás, amely igyekszik segítsen az online közösségnek megvédeni magát a számítógépes fenyegetésekkel szemben, miközben a szervezeteket oktatják felhasználói adatok védelméről.
Nemrégiben egy hatalmas adatsértést fedeztünk fel, amely 78 ezer Vascepát szedő beteget érint. Azt is kiderült, hogy az xSocialMedia széles körben elterjedt az adatok megsértése miatt. Érdemes elolvasni a VPN szivárgás jelentését és az adatvédelmi statisztikák jelentését is.
Kérem ossza meg ezt a jelentést a Facebookon vagy csipog.
Brayden
17.04.2023 @ 20:43
Magyarul:
Az vpnMentor kutatócsoportja szivárgást talált az Orvibo felhasználói adatbázisában. A szakértő kiberbiztonsági kutatócsoport felfedezte az Orvibo Smart Home termékekhez kapcsolódó nyílt adatbázist, amely több mint 2 milliárd naplót tartalmaz, amelyek mindent rögzítenek felhasználónevek, e-mail címek és jelszavak a pontos helyre. Az adatsértés érinti felhasználók a világ minden tájáról, és ez egy súlyos megsértése a magánéletnek és a biztonságnak. Az Orvibo állítása szerint körülbelül egymillió felhasználója van, ide tartoznak azok a magánszemélyek, akik összekapcsolta otthonaikat, valamint szállodák és egyéb vállalkozások az Orvibo okos otthoni eszközökkel. Az Orvibo adatbázis lezárult Július 2-án. A szakértők tanácsai az adatbiztonsággal kapcsolatban: mindig használjunk erős jelszavakat, ne használjuk ugyanazt a jelszót több fiókhoz, és rendszeresen változtassuk meg a jelszavunkat. Vigyázzunk az okos otthoni eszközeinkre, és ne osszuk meg a személyes adatainkat olyan vállalatokkal, amelyek nem biztosítják megfelelő adatvédelmet.