Крупнейшая утечка в мире Интернета вещей

Хактивисты из компании vpnMentor обнаружили в интернете незащищенную базу китайского IoT-провайдера Orvibo. Всего скомпрометировано порядка 2 млрд записей из журналов устройств категории «умный дом», сообщает издание Forbes.

Причиной утечки стал неправильно настроенный облачный сервер Elasticsearch, доступный в Сети без пароля. В хранилище находились записи логов IoT-устройств, включая такие данные, как имена пользователей, адреса электронной почты, пользовательские пароли, коды сброса настроек, сведения геолокации, IP-адреса, семейные ID, записи «умных» камер и др.

В отчете vpnMentor отмечается, что на открытом сервере найдены логи журналов пользователей из Китая, Японии, Таиланда, Мексики, Франции, Австралии, Бразилии, Великобритании и США. Наиболее критичной информацией исследователи называют пароли и коды сброса настроек. Ситуацию усугубляет тот факт, что для защиты этих данных использовался устаревший алгоритм хэширования MD5. Этот алгоритм давно считается небезопасным, поскольку содержит ряд уязвимостей, позволяющих расшифровать данные.

Orvibo – китайская компания со штаб-квартирой в Шеньчжэне, разработчик платформы для управления устройствами «умного дома». Всего Orvibo выпускает около 100 различных устройств для организации «умного дома», а также для интеллектуальной автоматизации. На своем сайте компания утверждает, что у нее более миллиона клиентов, включая как частных пользователей, так и корпоративных заказчиков, среди которых есть сети отелей.

Специалисты по информационной безопасностью не исключают, что обширной базой данных из устройств «умного дома» могут воспользоваться организованные группы злоумышленников. Пользователям рекомендуется поменять пароли к устройствам на более длинные и сложные, а также не использовать такие пароли в других учетных записях.