0
本文作者: 李勤 | 2019-07-03 17:17 |
相比那些智能音箱被技术高超的黑客攻破,监听你在房间密谈的这种事件,下面这种“事故”的波及面要广多了。。。
据外媒报道,中国智能家居解决方案提供商 Orvibo 旗下的一个可公开访问的 ElasticSearch 数据库泄露了超过 20 亿条用户日志,其中包含来自世界各国客户的敏感数据。
这些数据有多敏感呢?
不好意思哦,用户名、电子邮件地址和密码这种是泄露无疑了,更可怕的是,雷锋网了解到,还有下面这些:
电子邮件地址
密码
帐户重置代码
精确的用户地理位置
IP 地址
用户名和用户 ID
家族姓名和家族 ID
存取账户的设备名和设备
通过智能相机录制的对话
行程信息
【泄露样本】
这家公司的业务范围还挺广,据公开资料,这家公司通过提供“安全”和能源管理的智能系统,以及使用智能家居云平台的远程控制和数据记录 / 分析,Orvibo 为其客户提供智能解决方案,帮助他们管理房屋、办公室和酒店房间,对应推出了三大场景应用方案:智慧家庭,智慧办公,智慧酒店,“并在全球范围内实现项目成功落地”。
这说明了一些事情:不仅是家庭信息,巧合之下,网络那端的眼睛甚至可能知道这些被“泄露”的用户在哪里办公,出差住什么酒店,甚至“跨国”追踪无障碍。
雷锋网注意到,发现这个数据库的“小秘密”的 vpnMentor 的研究团队在 6 月 16 日联系了Orvibo 公司,但是到 7 月 2 日,这个数据库仍然在线。研究人员还表示:“只要数据库保持开放,可用数据量每天都在增加”,包括中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西在内的用户都受到了数据泄露的影响。
你以为只是泄露信息了吗?
不,潜在风险还有很多。
该数据库泄露的帐户重置代码可能允许潜在的攻击者将 Orvibo 用户锁定在他们的帐户之外,而无需在此过程中使用用户的密码。
通过更改密码和电子邮件地址,该账户可能无法恢复,让黑客"完全控制他们的智能家居设备"。怎么控制呢?比如,分分钟看直播——对于在 Orvibo 智能家居管理账户中添加安全摄像头的用户,只要输入用户账户和数据库中的凭证,就可以轻松访问智能摄像头提供的视频信息。
找到用户的精准位置信息,破解他的智能门锁也不是什么难事,毕竟控制权都有了嘛!
数据库权限不好好设置就是这个下场,但实际付出代价的却是“无辜的”用户。就连 Elastic NV 都看不下去了,按照它在 5 月 20 日发出的公告所言,Elastic Stack 的核心安全功能已经免费。这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色。
Elastic NV 还敦促管理员通过"加密通信、以角色为基础的存取控制、 IP 过滤和审计"来保护 ElasticSearch 栈,为他们的服务器内置用户配置密码,并在部署之前正确配置数据库。
雷锋网发现,由于不好好配置数据库,导致没有密码可以公开访问,数据泄露的惨案实在太多了。
6 月初,超过 160 万的芝加哥大学医学院的潜在和现有捐献者的个人信息被一个错误配置和不受保护的 ElasticSearch 服务器暴露在互联网上。
同在 6 月初,中国一家猎头公司 FMC Consulting 旗下的 ElasticSearch 集群配置不当,导致可以公开访问,泄露了数百万份简历和公司记录、客户和员工的数据。
5 月,一个未受保护的 ElasticSearch 集群暴露了 3427396 份记录,其中包含带有"病人"标签的巴拿马公民的敏感个人信息,以及 468086 份标签为"检测病人"的记录。
尽管保护敏感信息不受公共访问是安全常识,但错误配置的 ElasticSearch 服务器仍然是频发的事情,讲真,ElasticSearch 的开发者摊着小手,只差没说:“求求你们自己也关注一下啊”。
本文刊发后,Orvibo 对雷锋网表示,vpn Mentor曾于6月16日将报告发送给Orvibo ,但由于邮件系统过滤,其在 7月2日才获悉报告内容,他们采取了以下解决方案:
1.已解决安全漏洞。
2.密码加密机制升级。
3.升级对用户帐户和密码重置的保护。
4.加强与专业网络安全公司的合作,提高系统安全性。
7 月 3日,vpnMentor已经认可该公司的修复结果。
参考来源:BleepingComputer。
雷峰网版权文章,未经授权禁止转载。详情见转载须知。