Разработчик решений для «умного дома» Orvibo оставил в открытом доступе огромное количество данных о своих клиентах - включая пароли, геолокацию и почтовые адреса.
Китайский производитель технологий «умного дома», компания Orvibo, допустила сверхмасштабную утечку пользовательских данных. В Сеть «ушли» более двух миллиардов логов, собранных компанией от пользователей по всему миру.
Orvibo поставляет интеллектуальные системы, позволяющие управлять системами освещения, энергоснабжения и безопасности домов, офисов и гостиничных номеров, в том числе удалённо. Работа осуществляется через специализированный облачный сервис, на котором аккумулируются и анализируются статистические данные о работе платформы.
Как оказалось, работники Orvibo разместили на незащищённой базе данных более двух миллиардов логов, содержащих колоссальное количество пользовательской информации, в том числе сугубо конфиденциальной: почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии.
«По сути дела, тут всё или почти всё, что нужно, чтобы перехватить контроль над учётной записью, а следовательно, и оборудованием в доме или офисе, — говорит Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — По сути дела, это всё равно как бросить ключи от «умного дома» на пороге: заходи любой желающий и делай всё, что захочешь, без ограничений. Такое отсутствие базовых мер безопасности для вендора технологий «умного дома» как минимум удивительно».
Эксперты vpnMentor выяснили, в частности, что потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, чтобы законный владелец потерял возможность управлять своим аккаунтом, — это уж не говоря о контроле над устройствами «умного дома».
Более того, видеопотоки с «умных камер» легко доступны посторонним — достаточно войти в пользовательский аккаунт с помощью паролей в обнаруженной базе данных.
Ну, а возможность удалённого открытия замков с точной геолокацией — это просто подарок грабителям.
База данных располагалась в кластере ElasticSearch. С конца мая разработчик сделал базовые средства защиты Elastic бесплатными для всех, однако незащищённые серверы до сих пор встречаются в изобилии.
Ещё в 2013 г. разработчики ElasticSearch настоятельно рекомендовали владельцам кластеров ограничить доступ к ним локальной сетью, в которой они располагаются. Но и этому, похоже, вняли далеко не все, кто должен.
Является ли база данных по-прежнему общедоступной, неизвестно: vpnMentor не получили ответа от Orvibo.
Источник: CNews