某智能家居公司数据库泄露，20亿数据裸奔

近日，由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。

该数据库中包含超过20亿条日志，记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。 只要数据库保持打开状态，每天可用的数据量就会不断增加。

这家位于中国深圳的公司生产了约100多种不同的智能家居或自动化产品，并 声称拥有大约一百万用户， 不仅包括个人的家庭用户，还有酒店和企业用户，分布范围遍及世界各地。

因此服务器提供的数据量非常巨大，而本次数据泄露的影响也可想而知。

泄密数据库非常详细

让人惊掉下巴的不仅仅是“20亿”庞大数量的数据，还有在这20亿数据中，更为详细的数据条目：

泄露样本

从研究人员所发布的泄露样本，我们不难看出，泄露的数据包含用户的：

1、电子邮件地址

2、密码

3、帐户重置代码

4、精确的地理定位

5、IP地址

6、用户名

7、用户ID

8、家庭名称

9、家庭ID

10、智能设备信息

11、访问帐户的设备类型

12、日程信息

而这些信息拼在一起，足够创建一个完整的用户标识。

我们可以判断用户在何时、何处，使用了何种设备，而精准的经纬度坐标，更是可以让黑客精准定位用户的确切坐标，从而进行跟踪。

即使攻击者只有电子邮件地址、IP地址和重置代码，也可以 通过访问重制代码，在无需登录其电子邮箱的情况下就重置密码，并 轻松禁止用户登录其拥有的帐户 。

这意味着一个恶意攻击者可以通过首先更改密码，然后再更改电子邮件地址的方式，来永久锁定用户的帐户。

本次事件的严重影响

这种规模的数据泄露造成的影响是难以估计的，不管是对于个人还是企业。 黑客只要做足够多的分析，有可能比你自己还了解你。

虽然Orvibo的产品并不包括市面上所有的智能设备，但还是有可能对其他厂商的设备造成影响。

例如，如果黑客控制了一个智能插座，那么所有连接到插座的设备都会受到影响。 特别是如果在商业场所，造成的影响会更大。 此外，这些电器的工作还有可能直接影响到用户的身体安全。

但受影响最严重的应该是Orvibo旗下的“家庭安全”设备，包括智能锁、家庭安全摄像头和全套的智能家居套件等。 根据所泄露的信息，这些设备面对黑客时没有任何抵抗能力。

随着物联网的飞速发展，每个人都要意识到，这巨大便利的背后隐藏着巨大的风险。 这不仅仅是Orvibo一家公司的问题，而是整个物联网要面临的挑战。

安全建议

发现该漏洞的 vpnMentor 安全团队建议Orvibo可以采取一些安全措施，从而防范攻击者的此类违规行为，具体包括：

1、对服务器增加安全防护；

2、实施适当的访问规则；

3、避免将任何无需身份验证的系统上线至互联网上。

后续结果

从Orvibo方面了解到，此次涉及到信息泄露的安全漏洞现已修复，并提高了对用户信息的保护等级，同时他们也希望和专业信息安全研究团队打成合作，一同保护物联网安全。

同时，vpnMentor的安全研究团队在博客中也进行了更新，已确认问题已复。

来源： 嘶吼、NOSEC

— ▼ —

2019 看雪安全开发者峰会门票正在热售中！

原价 1024 元，

现 在购买即可 即可享受  2.5折  优惠！

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多干货