某智能家居公司数据库泄露,20亿数据裸奔

栏目: 数据库 · 发布时间: 5年前

内容简介:近日,由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。

近日,由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。

该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。 只要数据库保持打开状态,每天可用的数据量就会不断增加。

某智能家居公司数据库泄露,20亿数据裸奔

这家位于中国深圳的公司生产了约100多种不同的智能家居或自动化产品,并 声称拥有大约一百万用户, 不仅包括个人的家庭用户,还有酒店和企业用户,分布范围遍及世界各地。

因此服务器提供的数据量非常巨大,而本次数据泄露的影响也可想而知。

泄密数据库非常详细

让人惊掉下巴的不仅仅是“20亿”庞大数量的数据,还有在这20亿数据中,更为详细的数据条目:

某智能家居公司数据库泄露,20亿数据裸奔

某智能家居公司数据库泄露,20亿数据裸奔

某智能家居公司数据库泄露,20亿数据裸奔

泄露样本

从研究人员所发布的泄露样本,我们不难看出,泄露的数据包含用户的:

1、电子邮件地址

2、密码

3、帐户重置代码

4、精确的地理定位

5、IP地址

6、用户名

7、用户ID

8、家庭名称

9、家庭ID

10、智能设备信息

11、访问帐户的设备类型

12、日程信息

而这些信息拼在一起,足够创建一个完整的用户标识。

我们可以判断用户在何时、何处,使用了何种设备,而精准的经纬度坐标,更是可以让黑客精准定位用户的确切坐标,从而进行跟踪。

即使攻击者只有电子邮件地址、IP地址和重置代码,也可以 通过访问重制代码,在无需登录其电子邮箱的情况下就重置密码,并 轻松禁止用户登录其拥有的帐户

这意味着一个恶意攻击者可以通过首先更改密码,然后再更改电子邮件地址的方式,来永久锁定用户的帐户。

本次事件的严重影响

这种规模的数据泄露造成的影响是难以估计的,不管是对于个人还是企业。 黑客只要做足够多的分析,有可能比你自己还了解你。

虽然Orvibo的产品并不包括市面上所有的智能设备,但还是有可能对其他厂商的设备造成影响。

例如,如果黑客控制了一个智能插座,那么所有连接到插座的设备都会受到影响。 特别是如果在商业场所,造成的影响会更大。 此外,这些电器的工作还有可能直接影响到用户的身体安全。

某智能家居公司数据库泄露,20亿数据裸奔

但受影响最严重的应该是Orvibo旗下的“家庭安全”设备,包括智能锁、家庭安全摄像头和全套的智能家居套件等。 根据所泄露的信息,这些设备面对黑客时没有任何抵抗能力。

随着物联网的飞速发展,每个人都要意识到,这巨大便利的背后隐藏着巨大的风险。 这不仅仅是Orvibo一家公司的问题,而是整个物联网要面临的挑战。

安全建议

发现该漏洞的 vpnMentor 安全团队建议Orvibo可以采取一些安全措施,从而防范攻击者的此类违规行为,具体包括:

1、对服务器增加安全防护;

2、实施适当的访问规则;

3、避免将任何无需身份验证的系统上线至互联网上。

后续结果

从Orvibo方面了解到,此次涉及到信息泄露的安全漏洞现已修复,并提高了对用户信息的保护等级,同时他们也希望和专业信息安全研究团队打成合作,一同保护物联网安全。

同时,vpnMentor的安全研究团队在博客中也进行了更新,已确认问题已复。

来源: 嘶吼、NOSEC

2019 看雪安全开发者峰会门票正在热售中!

原价 1024 元,

在购买即可 即可享受  2.5折  优惠!

某智能家居公司数据库泄露,20亿数据裸奔

某智能家居公司数据库泄露,20亿数据裸奔

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多干货


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大型网站技术架构

大型网站技术架构

李智慧 / 电子工业出版社 / 2013-9-1 / 59.00元

《大型网站技术架构:核心原理与案例分析》通过梳理大型网站技术发展历程,剖析大型网站技术架构模式,深入讲述大型互联网架构设计的核心原理,并通过一组典型网站技术架构设计案例,为读者呈现一幅包括技术选型、架构设计、性能优化、Web 安全、系统发布、运维监控等在内的大型网站开发全景视图。 《大型网站技术架构:核心原理与案例分析》不仅适用于指导网站工程师、架构师进行网站技术架构设计,也可用于指导产品经......一起来看看 《大型网站技术架构》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

URL 编码/解码
URL 编码/解码

URL 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试