Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

Исследовательская группа vpnMentor обнаружила утечку в базе данных пользователей Orvibo.

Наша экспертная исследовательская группа по кибербезопасности, возглавляемая Ноамом Ротемом и Раном Локаром, обнаружила открытую базу данных, связанную с продуктами Orvibo Smart Home. База данных включает в себя более 2 миллиардов журналов, которые записывают все от имена пользователей, адреса электронной почты и пароли, в точные места. Пока база данных остается открытой, объем доступных данных продолжает увеличиваться с каждым днем.

Орвибо утверждает, что имеет около миллиона пользователей. К ним относятся частные лица, которые соединили свои дома, также как и отели и другие предприятия с устройствами умного дома Orvibo.

Это составляет массовое нарушение конфиденциальности и безопасности с далеко идущими последствиями. Нарушение данных влияет пользователи со всего мира. Мы нашли журналы для пользователей в Китае, Японии, Таиланде, США, Великобритании, Мексике, Франции, Австралии и Бразилии. Мы ожидаем, что в журналах «2 миллиарда плюс» будет больше пользователей.

Сначала мы связываемся с Орвибо по электронной почте 16 июня. Когда мы не получили ответ через несколько дней, мы также написали в Твиттере компанию, чтобы предупредить их о нарушении. Они до сих пор не ответили, и нарушение не было закрыто.

Обновить: База данных Orvibo была закрыта с 2 июля.

Примеры записей в базе данных

Объем данных, доступных с серверов Орвибо, огромен. Это также очень специфичный, который показывает, сколько данных умные домашние устройства могут собирать о своих пользователях. По данным компании, есть более миллиона пользователей которые установили продукты Orvibo в своих домах и на предприятиях.

Китайская компания, базирующаяся в Шензене, производит 100 различных умных домов или интеллектуальных продуктов для автоматизации.

Данные, включенные в нарушение

  • Адрес электронной почты
  • Пароли
  • Коды сброса аккаунта
  • Точная геолокация
  • айпи адрес
  • имя пользователя
  • ID пользователя
  • Фамилия
  • ID семьи
  • Умное устройство
  • Устройство, которое получило доступ к учетной записи
  • Планирование информации

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

В этом первом примере мы видим, что Orvibo собирает большое количество данных о своих пользователях. В этом случае не все точки данных записываются; Тем не менее, у нас есть другие примеры, которые включают в себя очень конкретные геоданные, выбранные фамилии, имена пользователей, пароли и коды сброса это позволило бы для захвата счета.

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователейОтчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

Эти журналы данных для одной и той же учетной записи, которую мы можем проверить с помощью соответствующий адрес электронной почты и идентификационный номер пользователя. Во первых, у нас есть только адрес электронной почты, IP-адрес и код сброса. С этим кодом, доступным в данных, вы можете легко заблокировать пользователя из своей учетной записи, так как вам не нужен доступ к их электронной почте для сброса пароля.

Код доступен для тех, кто хочет сбросить либо свой адрес электронной почты, либо пароль. Это означает, что плохой актер мог навсегда заблокировать пользователя из своей учетной записи, изменив сначала пароль, а затем адрес электронной почты. Орвибо делает некоторые усилия в скрытие паролей, которые хешируется с использованием md5 без соли.

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователейОтчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

Приведенный выше пример представляет собой небольшую выборку данных геолокации, которые мы имеем. Orvibo ведет журнал точных координат долготы и широты (пишется латотид в данных). Точность координат может привести нас к точному адресу пользователя. Это также демонстрирует что их продукты отслеживают местоположение самостоятельно, а не определять местоположение на основе IP-адреса.

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

В этой записи от пользователя из Мексики, он показывает точно к какому устройству был подключен пользователь когда данные были зарегистрированы. Согласно веб-сайту Orvibo, HomeMate - это полноценная система умного дома, которая использует полный спектр своих продуктов для подключения всего вашего дома. Это количество данных показывает только насколько уязвимым может быть пользователь, если хакер воспользуется этим нарушением.

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

Одним из продуктов, предлагаемых Orvibo, является умное зеркало. Это включает в себя технологию, чтобы показать погоду и отобразить расписание. Вот, у нас есть журнал для расписания, которое пользователь установил с настроенным именем. «Зимняя неделя АМ» дает нам точную информацию о календаре пользователя.

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

Это журнал данных, который включает в себя большое количество устройств, подключенных к одной учетной записи. Мы можем видеть четкую запись о пользователе, имеющего один из Умная камера Орвибо. Другое устройство называется «массажная комната». Хотя не все названия устройств говорят нам, какое устройство находится, оно может помочь кому-то точно определить взлом устройства, если он захочет это сделать..

Этикетка «массажный кабинет» также указывает на данные, которые, вероятно, принадлежат бизнесу..

Отчет: Устройства Orvibo Smart Home пропускают миллиарды записей пользователей

Другой Журнал Smart Camera включал в себя сообщение, которое было записано слово в слово. Это открывает возможность для пользователя раскрывать еще больше личной информации через свой аккаунт.

Важно отметить, что не каждый отдельный журнал данных включал в себя каждый тип личной информации. Тем не менее, даже с более 2 миллиарда записей искать через, было достаточно информации, чтобы собрать несколько потоков и создать полную картину личности пользователя.

Мы обнаружили несколько несоответствий в самом программном обеспечении Orvibo. Большинство журналов были созданы полностью на английском языке, который включает названия мест, например. Однако мы также обнаружили, что в нескольких записях страны и города были записаны на китайском, а не на английском языке. Похоже, не было никакой последовательности относительно того, когда китайский язык использовался по сравнению с английским.

Влияние нарушения данных

Нарушение такого размера имеет серьезные последствия. Каждое устройство в каталоге продукции Orvibo может оказывать различное негативное влияние на своих пользователей. Это в дополнение к обилию идентифицирующей информации о пользователях. Много данные могут быть соединены вместе, чтобы разрушить дом человека в то время как, возможно, приводит к дальнейшим взломам.

Несмотря на то, что Orvibo хеширует свои пароли, мы сами проверили безопасность, чтобы увидеть, как легко было найти настоящий пароль. В некоторых случаях, мы раскрыли наш собственный пароль, но в других мы не могли сломать хэш. Чтобы проверить это, мы создали собственную учетную запись, а затем искали адрес электронной почты, чтобы узнать, какая информация об учетной записи была доступна. Хотя выбранный нами пароль был хеширован, его было легко взломать. 

Если бы Орвибо добавил соль к своим хешированным паролям, он бы создал более сложная строка это гораздо сложнее взломать. Соль работает, добавляя случайную строку в существующий пароль, который затем хэшируется. поскольку соль неизвестна, становится очень трудно определить, какая часть пароля является подлинной, а какая была добавленной строкой..

Это особенно подчеркивает почему так важно выбирать надежные пароли, особенно когда они подключены к устройствам с неопределенным уровнем безопасности.

Однако даже при наличии надежных паролей база данных Орвибо включала опасная часть информации. Изучая их записи, мы обнаружили, коды сброса аккаунта в журналах данных. Они будут отправлены пользователю для сброса либо пароля, либо адреса электронной почты. С этой информацией, легко доступной, хакер мог заблокировать пользователя из своей учетной записи без необходимости пароля. Изменение пароля и адреса электронной почты может сделать действие необратимым.

Orvibo предлагает широкий спектр решений для подключения вашего дома. Они еще не включают умные приборы в свои составы, но все еще много урона, который можно сделать через продукты, которые они имеют на рынке.

Например, даже умную розетку можно взломать изменить уровень потребления энергии пользователем без их ведома. Другой сценарий включает в себя отключение питания с помощью интеллектуальных вилок, которые потенциально могут погрузить пользователя в темноту в то время, когда ему нужно хорошее освещение. Для многих людей это может быть опасной ситуацией. С другой стороны, если бы это произошло в торговом центре, привести к потере дохода.

Многие умные дома используют подобные розетки для экономии энергии на устройствах, которые они не используют. Если кто-то изменит настройки сокета без ведома пользователя, это может привести к ситуации, когда главный прибор, такой как духовка, включается и нагревается без присмотра.

Аналогичная ситуация для умных выключателей. Хотя оставленные без света огни могут не быть бедствием, это может привести к незначительному, но эффективному увеличению потребления энергии.. Поскольку изменение не будет радикальным, оно также может усложнить улов. Для более радикальных изменений можно взять систему HVAC, которая потребляет значительно больше энергии, чем освещение или моторизованные шторы. Даже быстрое выключение этих приборов может повредить их электрические цепи и сломать их двигатели..

Однако Орвибо не просто нацеливается на отдельные дома. У них также есть отличные профили для офисов и отелей. Изменение настроек электричества в офисном здании или отеле будет иметь гораздо более существенный эффект. Это может быстро съесть прибыль небольшой компании при этом трудно понять, почему их стоимость так высока.

Тем не менее, есть другие устройства, чья плохая безопасность может иметь более серьезные последствия. Ряд устройств, предлагаемых Orvibo, подпадают под «домашнюю безопасность». Они включают в себя умные замки, камеры домашней безопасности и полные комплекты умных домов. С информацией, которая просочилась, ясно, что нет ничего безопасного об этих устройствах. Даже если одно из этих устройств установлено, это может подорвать, а не повысить вашу физическую безопасность.

Из базы данных просочилось достаточно информации взять на себя учетную запись пользователя достаточно простая задача. Злой актер мог легко получить доступ к видеопотоку с одной из умных камер Orvibo путем входа в учетную запись другого пользователя с учетными данными, найденными в базе данных. В то же время было бы легко разблокировать дверь с того же аккаунта. С точной геолокацией это упрощает взлом дома, умные дома события должны помочь защитить от.

Данные, которые пропускают устройства Orvibo, выходят за пределы интеллектуальных замков и камер безопасности. Одно из их других устройств - умное зеркало, которое включает в себя встроенные дисплеи погоды, а также календарь. Как мы видели в приведенных выше данных, некоторые пользователи имели очень подробную информацию о своих расписаниях, записанных через умное зеркало. Если кто-то хочет следовать за пользователем за пределами своего дома, они могли бы найти необходимую информацию сделать это, комбинируя данные планирования в базе данных. Мы можем просмотреть название расписания, а также записи времени, которые включают в себя неделю, день и время, вплоть до второго.

Два других устройства, которые производит Orvibo, подпадают под зонтику Home Entertainment. Одним устройством является контроллер Magic Cube Wifi; другой контроллер ZigBee. На самом базовом уровне хакер мог взять под контроль эти устройства, чтобы испортить пользователям ТВ или кино. Однако, с легким управлением телевизором, хакер может включить его и увеличить громкость в неудобное время. Любой может оказаться на линии шумовые помехи, даже если они не знали о взломе. Однако влияние меняется и возрастает, когда жертва - это бизнес.

Хакеры могли легко отключить всю сеть с полностью связанным набором этих предметов умного дома. Это приведет к прямая потеря дохода в сочетании с потерей доверия клиентов. Когда все здание или жилище полагаются на подключенные технологии для обеспечения безопасности, отключение может остановить всю операцию.

Это возрастающая проблема когда дело доходит до того, что называется Интернетом вещей. Это относится ко всем интеллектуальным устройствам, которые взаимодействуют друг с другом через интернет-соединение. Тем не менее, как отрасль, которая еще относительно молода, вопросы безопасности, которые необходимо решать производителям пока они еще могут.

Интернет вещей не просто представляет угрозу безопасности. В то время как чьим-либо виртуальным учетным записям может угрожать утечка данных, связывающая их электронную почту, пароли и местоположение, она также подрывает их конфиденциальность. Многие пользователи могут быть не так обеспокоены государственный надзор, но для тех, кто такие базы данных, как Орвибо, может нарисовать детальную картину жизни пользователя.

Совет от экспертов

Есть несколько мер безопасности что Орвибо мог бы принять то, что помогло бы предотвратить это нарушение. Ниже вы можете найти несколько важных советов, которые помогут вам предотвратить или исправить уязвимую базу данных..

  1. Защитите свои серверы.
  2. Реализуйте правильные правила доступа.
  3. Никогда не оставляйте систему, не требующую аутентификации, открытой для интернета..

Более подробное руководство о том, как защитить свой бизнес, можно узнать, как защитить свой веб-сайт и онлайн-базу данных от хакеров..

Как мы обнаружили нарушение

Мы обнаружили это нарушение как часть нашего веб-картографический проект. Наша команда экспертов по кибербезопасности исследует порты в поисках известных блоков IP. Используя эти блоки, Ноам и Ран могут искать уязвимости в веб-системе. Когда команда обнаруживает пропущенные данные, они используют свое техническое понимание, чтобы подтвердить, кому принадлежит база данных..

После обнаружения утечки, мы связываемся с владельцем базы данных предупредить их об уязвимостях в системе. По возможности мы также свяжемся с теми, кто пострадал от взлома данных. Наша цель с этим проектом состоит в том, чтобы продвигать безопасный и надежный интернет для всех пользователей.

О нас и предыдущих отчетах

vpnMentor - крупнейший в мире веб-сайт, посвященный обзору VPN. Наша исследовательская лаборатория является бесплатной службой, которая стремится помочь интернет-сообществу защитить себя против киберугроз при обучении организаций защите данных своих пользователей.

Недавно мы обнаружили огромное нарушение данных, затрагивающее 78 тысяч пациентов, принимающих васпепу. Мы также обнаружили, что xSocialMedia подверглась широко распространенному нарушению данных. Вы также можете прочитать наш отчет об утечке VPN и отчет о конфиденциальности данных.

пожалуйста поделиться этим отчетом в Facebook или чирикать это.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me