热门搜索词

热门文章

  • [公告]4月19日天津电信机房割接通知

    接天津电信通知,将于北京时间2024-4-19 02:00至2024-4-19 06:00对天津电信机房进行割接维护,涉及 IP段42.81.219.0/25 、240e:928:501:9::/96。

  • [公告]4月25日知道创宇云防御节点更新...

    为提供更好更优质的云防御服务,我们将于近期对机房节点进行优化和调整,部分节点IP将不再提供服务,涉及IPv4网段:111.47.226.0/24、118.212.233.0/24、117.23.61.0/24、116.211.155.0/24,IPv6网段:2409:8C4D:5200:000C::/64、240E:0954:0000:0010::/64、240E:095C:2003:0008::/64、2408:874C::/60。

  • [公告]4月12日株洲联通机房割接通知

    接湖南联通通知,将于北京时间2024-04-12 00:00至2024-04-12 04:00对株洲联通机房进行割接维护,涉及 IP段 119.39.205.0/25、2408:8752:100:4:0:1::/96。

关注知道创宇云防御

获取最新安全动态

中国智能家居解决方案供应商Orvibo泄漏20亿条用户日志

来源:NOSEC 2019.07.04

22.jpg

vpnMentor的研究小组在Orvibo的用户​​数据库中发现了泄漏。

该安全研究小组由Noam Rotem和Ran Locar领导,发现了一个与Orvibo智能家居产品相关的可任意访问的数据库。该数据库包含20多亿条日志,记录了用户名、电子邮件地址、密码和精确定位等一系列敏感信息,而且数据量还在每天持续增加中。

Orvibo声称拥有大约一百万用户。既包括在个人的家庭用户,也有使用了Orvibo智能家居设备的酒店和其他企业。

此次泄漏事件对隐私和安全造成了巨大的破坏,影响了世界各地的用户。仅仅通过粗略的查看,我们就在日志中找到了中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西用户的痕迹。预计这20亿条日志覆盖的国家总数将十分惊人。

我们将于6月16日通过电子邮件与Orvibo进行了联系。但一直没有收到回复,我们也尝试通过推特进行联系,但仍然没有回应。

 

数据库数据示例

这台属于Orvibo的服务器上有大量极具价值的数据,而且记录的非常清晰,一目了然。这家位于中国深圳的公司生产了100多种不同的智能家居或自动化产品。

泄露的敏感数据项目:

  • 电子邮件地址

  • 密码

  • 帐户重置代码

  • 精确地理位置

  • IP地址

  • 用户名

  • 用户ID

  • 家庭名称

  • 家庭ID

  • 智能设备

  • 帐户关联的设备

  • 规划信息

33.png

在上个示例中,我们可以看到Orvibo收集了大量关于用户的数据。不同的记录所涉及的项目有所不同,在其他的记录中,还有非常具体的地理位置、家庭名称、用户名、密码和用于帐户接管的重置代码。

44.png

从数据库所泄露的数据中,我们不仅验证了这些信息真实性,还发现可以直接使用重置代码将原本的用户排除在他们的帐户外,并在无需电子邮件验证的情况下随意锁定帐户。此外,所泄露密码被MD5处理过。

66.png

77.png

而上面图片中例子涉及到了地理位置数据。Orvibo保存了精确的经度和纬度坐标的(在数据中的标记为latotide)。这些坐标的精确性可以直接引导我们找到用户的确切地址。这也表明,他们的产品可以不依靠IP,自己精准定位。

88.png

在上面这个来自墨西哥用户的记录中,它精确地显示了用户连接的设备。根据Orvibo网站的说明,HomeMate是一个全智能家居系统,它帮助你将整个家庭进行网络互连。这个设备如果被黑客攻陷,危害巨大。

99.png

Orvibo还有一个产品是智能镜子,它能显示天气和时间表。而在泄露的数据里,用户在这个镜子上所做的所有设置都被泄露,包括当地的天气情况。

100.png

而上图的日志显示,某个帐户拥有大量设备。我们可以清楚地看到该账户拥有Orvibo的一台智能相机。还有一个设备叫做“按摩室”。虽然不是所有的设备名称都能说明设备位置,但对于那些有毅力去分析的黑客,也许可以起到意想不到的效果。

“按摩室”可能代表这条数据属于某个企业。

110.png

另一条智能摄像头日志还包含一条逐字记录的消息。这就代表用户的个人信息已被直接泄露。

经过上面的分析,相信大家都明白这里面所蕴含的危险性。如果把这20亿条数据中价值全部榨取出来,可能会威胁到不少人的人身安全。

我们还发现Orvibo软件本身的一些不寻常之处。大多数日志都是完全用英语创建的,即使地名也是如此。但是,其他一些日志中国家和城市是用中文而不是英文。目前我们还没有发现这其中有什么规律。

 

影响

这种规模的数据泄露造成的影响是难以估计的,不管是对于个人还是企业。黑客只要做足够多的分析,有可能比你自己还了解你。

虽然Orvibo会对密码进行MD5处理,但并没有加盐。经过我们测试(包括我们自己创建的帐户),虽然某些密码哈希并不能短时间内破解,但还是有不少密码哈希被破解出来。

而且,即使抛开密码问题,Orvibo还记录了重置代码,黑客可以直接利用其在不需要密码的情况下将用户排除在他们的帐户之外。

虽然Orvibo的产品并不包括市面上所有的智能设备,但还是有可能对其他厂商的设备造成影响。例如,如果黑客控制了一个智能插座,那么所有连接到插座的设备都会受到影响。特别是如果在商业场所,造成的影响会更大。此外,这些电器的工作还有可能直接影响到用户的身体安全。

而受影响最严重的应该是Orvibo旗下的“家庭安全”设备,包括智能锁、家庭安全摄像头和全套的智能家居套件等。根据所泄露的信息,这些设备面对黑客时没有任何抵抗能力。

随着物联网的飞速发展,每个人都要意识到,这巨大便利的背后隐藏着巨大的风险。这不仅仅是Orvibo一家公司的问题,而是整个物联网要面临的挑战。

本文刊发后,Orvibo 回应,vpn Mentor曾于6月16日将报告发送给Orvibo ,但由于邮件系统过滤,其在 7月2日才获悉报告内容,他们采取了以下解决方案:

1.已解决安全漏洞。

2.密码加密机制升级。

3.升级对用户帐户和密码重置的保护。

4.加强与专业网络安全公司的合作,提高系统安全性。

Orvibo称漏洞目前并未造成数据泄露。

更新:vpnMentor在文章发布不久后表示,数据库已关闭。

 

消息来源:https://nosec.org/home/detail/2744.html

外媒曝PlayStation严重安全漏洞 黑客可绕过验证盗刷信用卡

售前支持

400-161-0866

联系企业微信客服