Полезные знания Огромное число данных утекло из-за Orvibo

Everest_RR

Местный
Private Club
Регистрация
8/10/18
Сообщения
232
Репутация
20
Реакции
255
RUB
0
orvibo-wiwo-r1-600-without_logo.jpg
Огромное число данных утекло из-за Orvibo


Известная компания Orvibo применяет платформу SmartMateдля того, чтобы управлять IoT-устройствами и умными домами. Эта платформа нужна для того, чтобы поддерживать взаимосвязь и управление различных умных продуктов, которые были созданы компанией.

В июне исследователи выяснили, что база данных ElasticSearchбыла оставлена без какой-либо защиты на одном из серверов. В базе обнаружены: журналы подключений и установка Kibana, которая была запущена на том же сервере.

Аналитики сообщают, что эта база данных является активной и содержит около двух миллиардов записей, которые связаны с Orvibo SmartMate и её клиентами. Также в базе данных содержатся данные входа в систему, данные о сбросе пароля и выхода из системы. Более того, в этих журналах находятся e-mail-адреса клиентов, IP-адреса и хэшированные пароли. В некоторых слотах находится личная информация клиента.

Самое скверное это то, что компания хранит пароли и коды для сброса. Хэширование паролей происходит при помощи MD5. Такие меры защиты без особых проблем взламываются. Если взломать пароль не вышло, то злоумышленник может подождать момента, когда появится код для сброса пароля или e-mail адрес. Эта информация может использоваться хакером для того, чтобы взломать учетную запись Orvibo.

Также злоумышленники могут просматривать записи с камер. Таким образом, возможно, что это поможет им спланировать ограбление или привести к уничтожению дома при помощи умных устройств.

Все записи в логах делаются на китайском, но помимо этого, были обнаружены записи пользователей из Японии, США и даже Таиланда.

Проблема с БД всё ещё актуальна.
 
Сверху Снизу