一个由自称“黑客行动主义”安全研究人员组成的团队,作为在网络数据库中搜索漏洞的网络地图项目的一部分,在违规后揭露违规行为的令人印象深刻的记录,已经披露了迄今为止最大的一个。有问题的研究人员,来自vpnMentor的Noam Rotem和Ran Locar发现,属于一家名为Orvibo的中国公司的用户数据库,它运行物联网(IoT)管理平台,在没有任何密码保护的情况下暴露在互联网上它。到目前为止,如此令人震惊。但是,当您发现数据库包含超过20亿条日志,其中包含从用户密码到帐户重置代码甚至是“智能”摄像机记录的对话时,情况会更糟。
谁是奥维博?
Orvibo是一家总部位于深圳的中国公司,经营智能家居设备管理平台。Orvibo网站拥有一个安全的云,提供“可靠的智能家居云平台”,并继续提及它如何“支持数百万物联网设备并保证数据安全”。我认为vpnMentor的研究人员可能会对这个漏洞方法本身如何令人震惊的可预测性提出质疑:错误配置和面向Internet的Elasticsearch数据库没有密码。只是为了给伤口添加盐,一个基于Web的Kibana应用程序可以更轻松地浏览该数据库中包含的数据,但没有密码保护。Vizion.ai总经理Geoff Tudor告诉我,Elasticsearch漏洞几乎每天都会发生。“首次安装时,Elasticsearch的API完全开放,没有任何密码保护,”Tudor说,并补充说“黑客需要做的就是点击http:// [serverIP]:9200的URL,用户可以查看是否有Elasticsearch然后它需要一个命令来搜索存储在其中的数据......“
其中,最有问题的是正在记录的密码和密码重置代码。尽管这些都没有加密,但它们已经使用MD5进行了哈希处理。与加密不同,加密是一种双向功能,因为它的设计使您可以在某个时刻解密数据,因此散列是一种不可逆的单向事物。Hashing将明文密码转换为唯一的十六进制字符串,它是一个身份验证的东西,如果你愿意,它是一个校验和。不幸的是,用于散列这些密码的MD5算法并不被认为特别安全,因为它已被发现包含一大堆漏洞。在稀释MD5哈希的安全值方面,Orvibo事件又向前迈进了一步:密码和重置代码被哈希但没有被腌制。通过在散列之前向每个密码的末尾添加唯一值或salt,可以生成不同的散列值。如果您想要防止在暴露密码之前尝试每个已知字母数字组合的暴力攻击,这个额外的安全层至关重要。如果每个散列密码都具有唯一的盐,则彩虹表,散列列表及其相应的密码也可能不太可能成功。
攻击者可以对这些数据做些什么?
鉴于Orvibo声称拥有超过一百万用户,包括拥有智能家居系统的个人以及酒店和其他商业客户,其影响相当深远。Orvibo生产约100种不同的智能家居或智能自动化设备。vpnMentor报告指出,它为中国,日本,泰国,墨西哥,法国,澳大利亚,巴西,英国和美国的用户发现了日志。
据研究人员称,重置代码是数据库中最危险的信息。“这些将被发送给用户以重置他们的密码或他们的电子邮件地址,”报告解释说,继续“随着信息易于访问,黑客可以锁定用户的帐户而不需要他们的密码。更改密码并且电子邮件地址可能使行动不可逆转。“
但考虑到Orvibo产品线中包含了许多家庭安全设备,这只是这次事件的冰山一角。其中包括智能锁,家庭安全摄像头和全智能家居套件。“随着泄漏的信息,”报告说,“显然这些设备没有任何安全保障。即使安装了这些设备中的一个,也可能破坏而不是增强您的物理安全性。”
Imperva威胁研究主管Ben Herzberg告诉我,“让服务器开放且易受攻击的错误配置是我们一次又一次地重新出现的问题。”“当这些系统处于开放状态时,攻击者有多种选择,他们可以利用数据来获取优势,接管资源,”Herzberg继续说道,“或者进一步深入到组织的网络中并渗透其他资源。 “
您可以做些什么来保护您的智能设备数据?
ESET的网络安全专家杰克摩尔说:“犯罪团体可能已经意识到了这个漏洞,但尚未知道是否还有人利用了这个漏洞。”我希望它能够很快得到修补。出去了。“考虑到vpnMentor在6月16日首次联系Orvibo而没有回复,这个希望对我来说似乎有点遥不可及。然后它在Twitter上发了推文,但这也没有得到任何回应。截至昨天,ZDNet报告说,尽管继续努力与该公司联系,但不仅没有响应,而且数据库仍可在线免费访问,无需密码保护。
“对于受影响的人来说,现在最好的事情就是确保他们的智能设备密码能够立即更改为复杂的东西,以及可以重复使用相同密码的其他帐户,”Moore建议道。然而,他还指出,如果网络犯罪团伙已经进入并在安装补丁之前观察他们的一举一动,“他们也可以拔掉设备上的插头直到它被修复。”
网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko得出的结论是,除了明显的密码更改外,Orvibo设备的用户几乎没有“追索权”,但如果可行的话,可以提出法律投诉并停用任何远程管理的房屋。