Akıllı ev üreticisi müşteri verilerini ve cihaz şifrelerini sızdırıyor

Akıllı ev yönetimi platformu üreten bir şirket, müşterileri ve onların müşterileri hakkındaki verileri sızdırıyor cihaz şifrelerini bir Elasticsearch sunucusu aracılığıyla internette açıkta bıraktı. şifre.

Sunucu, Shenzen şehrinde bulunan Çinli bir şirket olan Orvibo'ya aittir. SmartMate, modern bir akıllı evde akıllı cihazları yönetmeye yönelik bir platform.

Platform destekliyor Orvibo yapımı çeşitli akıllı ürünleri birbirine bağlamak ve kontrol etmekgüvenlik kameraları, akıllı ampuller, termostatlar, HVAC sistemleri, ev eğlence sistemleri, akıllı prizler, akıllı pencere perde sistemleri, akıllı kapı kilitleri ve daha fazlası gibi.

Sunucu iki haftadan fazla süredir veri sızdırıyor

Ancak şirketin arka uç sunucularından birini, yani Elasticsearch veritabanını yanlış yapılandırdığı görülüyor. Orvibo'nun İnternet'e bağlanmadan bıraktığı son bağlantı günlüklerinin toplanacağı yer şifre.

Veritabanı, güvenlik araştırmacıları Noam liderliğindeki vpnMentor güvenlik ekibi tarafından Haziran ayı ortasında tespit edildi. Geçtiğimiz ay bulgularını ZDNet ile paylaşan ve yetkililere bilgi verilmesi konusunda yardım isteyen Rotem ve Ran Locar SATICI.

Geçtiğimiz iki hafta boyunca hem vpnMentor hem de ZDNet, güvenlik sorunu hakkında bilgi vermek için Çinli şirketle iletişime geçti; ancak bu yazının yazıldığı sırada Orvibo yanıt vermedi veya herhangi bir işlem yapmadı.

Aşağıdaki ekran görüntüsünde görüldüğü gibi, sızdıran Elasticsearch sunucusuna hâlâ çevrimiçi olarak ücretsiz olarak erişilebiliyor ve bağlantı günlüğü verileri 1 Temmuz 2019'a (bu makalenin yayınlanma tarihi) kadar güncel tutuluyor.

Aynı sunucuda çalışan ilişkili bir Kibana kurulumu da parola olmadan mevcuttur. Kibana, varsayılan metin tabanlı arayüz yerine bir GUI kullanarak Elasticsearch sunucusunun verileri arasında gezinmeye yönelik web tabanlı bir uygulamadır.

Kullanıcı verileri ve cihaz şifresi sızdırılıyor

Bir vpnMentor raporuna göre ZDNet ile özel olarak paylaşılan veri tabanının son iki hafta içinde en az iki milyar günlük girişi arasında geçiş yaptığı ve her bir girişin bir Orvibo SmartMate müşterisi hakkında veri içerdiği görülüyor.

Her günlük girişinin verileri, oturum açma bilgileri, parola sıfırlamalar, cihazın kalp atışı (düzenli giriş), oturum kapatmalar ve diğerleri gibi günlüğe kaydedilen işleme bağlı olarak değişiklik gösteriyordu.

Bu günlüklerde bulunabilecek tipik veriler arasında Orvibo müşterilerinin e-posta adresleri, giriş yapan cihazın IP adresleri, Orvibo kullanıcı adları ve karma şifreler yer alıyordu.

Bazı durumlarda kesin coğrafi konum bilgileri, müşterinin aile adı, cihazın adı ve bilgiler de mevcuttu. cihazın planlanmış işlemleri hakkında (belirli saatlerde ışıkların açılması veya belirli saatler arasında ev alarmının verilmesi gibi) aralıklar).

ZDNet'in analiz ettiği tüm girişler Çince idi ancak vpnMentor araştırmacıları aynı zamanda Japonya, Tayland, ABD, İngiltere, Meksika, Fransa, Avustralya ve Brezilya'daki kullanıcıların günlük girişlerini de tespit ettiklerini söylüyor. Diğer birçok konumdaki müşterilere ilişkin veriler büyük olasılıkla mevcuttur, ancak bunu doğrulamak için özel olarak aramadık.

Ancak en endişe verici gerçek, şirketin hem şifreleri hem de şifre sıfırlama kodlarını günlüğe kaydetmesidir.

vpnMentor ekibi, "Orvibo, tuzsuz MD5 kullanılarak hashlenen şifreleri gizlemek için biraz çaba harcıyor" dedi.

Ancak tuzsuz MD5 şifrelerinin kırılması nispeten kolaydır, bu da bu veritabanına erişimi olan herkesin şifreyi çözebileceği anlamına gelir. SmartMate hesaplarını ele geçirin ve muhtemelen kullanıcının SmartMate kontrollü akıllı cihazına bağlı bir kullanıcının akıllı cihazlarının kontrolünü ele geçirin Ev.

Ayrıca tehdit aktörü MD5 şifrelerini kırmada başarılı olamasa bile yeni loglar için izleme kurulumu gerçekleştirebilir. Orvibo'yu ele geçirmek için de kullanabileceği, Elasticsearch sunucusuna eklenen şifre sıfırlama kodlarına sahip girişler hesaplar.

vpnMentor ekibi, "Verilerden erişilebilen bu kod sayesinde, şifreyi sıfırlamak için e-postalarına erişmeniz gerekmediği için bir kullanıcıyı hesabından kolayca kilitleyebilirsiniz" dedi.

"Kod, e-posta adresini veya şifresini sıfırlamak isteyenler için mevcuttur. Bu, kötü niyetli bir kişinin önce şifreyi, ardından e-posta adresini değiştirerek bir kullanıcıyı hesabından kalıcı olarak kilitleyebileceği anlamına geliyor."

Uzmanlar, insanların akıllı ana merkez hesaplarına erişimin, kullanıcıları, programlarını veya güvenlik video yayınlarını gözetlemelerine olanak sağlayacağını savunuyor.

Suç grupları, ev sahipleri uzaktayken soygunlar düzenleyebilir veya sabotaj yapabilir veya oyun oynayabilir. akıllı elektrik prizleri, HVAC'ler veya termostatlar.

Kötüye kullanım senaryolarının neredeyse sonu yok ve Çinli şirketin, sunucusunu ve dolaylı olarak müşterilerinin cihazlarını ve özel bilgilerini güvence altına almak için mümkün olan en kısa sürede müdahale etmesi gerekiyor.

Orvibo'nun müşteri verilerini sızdıran Elasticsearch kümesinin güvenliğini sağladığını eklemek için 3 Temmuz'da güncellendi.

Daha fazla veri ihlali kapsamı:

• Eşcinsel flört uygulaması, çıplak ve özel fotoğrafları sızdırdığı için 240.000 dolar para cezasına çarptırıldı
• 9 DHS çalışanının kimlik avı saldırısına uğramasının ardından 645 bin Oregonlunun verileri açığa çıktı
• Yüklenicinin S3 sunucusu Fortune 100 şirketlerinin verilerini sızdırıyor: Ford, Netflix, TD Bank
• NASA, ağına yetkisiz olarak bağlanan Raspberry Pi nedeniyle saldırıya uğradı
  
• Kanada'nın en büyük kredi birliği Desjardins güvenlik ihlalini duyurdu
• Hacker, Bitrue kripto para borsasından 4,5 milyon dolar çaldı
• Bir bilgisayar korsanının saldırısı, mobil operatörleri ağ kapanmasına açık bıraktı CNET
  
• ABD'deki veri ihlallerinin %90'ı New York ve Kaliforniya'da meydana geliyorTechRepublic