Smart Home + Dumb Security. Wyciekło 2 miliardy rekordów z hasłami (md5), kodami resetu kont, loginami, geolokalizacją. Producent nie zareagował…

A to wszystko z firmy Orvibo, która dostarcza przeszło 100 produktów klasy IoT – od domowych alarmów, przez inteligentne wtyczki, kamery, aż po urządzenia do obsługi rolet czy klimatyzacji. Milion klientów na całym świecie, instalacje w domach i firmach. Wygląda ciekawie, szczególnie w kontekście wycieku danych…

Przykładowy zestaw

Dane “siedziały” sobie grzecznie w dostępnej z Internetu bazie (Elasticsearch / Kibana nie było wymagane uwierzytelnienie, a baza wg serwisu ZDNet cały czas jest publicznie dostępna i wygląda na swego rodzaju log kolekcjonowany z urządzeń producenta). Zakres danych, które znajdowały się w kolekcji:

• Email addresses
• Passwords
• Account reset codes
• Precise geolocation
• IP address
• Username
• UserID
• Family name
• Family ID
• Smart device
• Device that accessed account
• Scheduling information

Badacze kontaktowali się około połowy czerwca z producentem (raz mailowo, raz na Twitterze), ale nie otrzymali żadnej informacji zwrotnej. Swoją drogą, baza pokazuje również jak dużo informacji o nas mogą kolekcjonować urządzenia IoT.

–ms