无论是互联网时代,还是如今的万物互联时代,信息安全一直是一个不容忽视的问题。设备及软件的安全该如何加固以及维护,早已成为各大科技巨头们暗中较量的一大技术点。不过,即使如此,数据泄露事件却从未停歇。
福布斯报道,安全研究人员发现了一个包含20亿条日志记录的用户数据库,“其被暴露于互联网上,无需任何访问密码”。
此数据库的信息归一家经营智能家居设备管理平台的中国公司Orvibo所有,其中包括:电子邮件地址、密码、精确的地理位置、IP地址、用户名、用户ID、家庭ID、智能设备、访问账号的设备、调度信息和账户重置代码。
由Noam Rotem和Ran Locar领导的vpnMentor研究人员表示,重置密码“会发送给用户以重置他们的密码或电子邮件地址。一旦有了这些信息,黑客无需密码就可以锁住用户的账户。而更改密码和电子邮件地址都是不可逆的操作。”
Orvibo的家庭安全设备包括智能锁、家庭安全摄像头和全套智能家居套件,研究人员表示:“由于信息泄漏,这些设备就毫无安全可言了。即使安装了某个设备,它也可能被破坏,并不能增强用户的人身安全。”
毫无预兆的,Orvibo官网表示该公司“支持以数百万计的物联网设备,并保证数据安全。”
然而,研究人员发现其安全性不足,而且“破解方法更是出人意料的可以猜测为:一个错误配置的、面向互联网的没有密码的Elasticsearch的数据库。”更糟糕的是,一款基于Kibanna的应用程序本就可以在浏览器更轻松的读取到数据,更何况它还没有密码保护。
Orvibo大约有100款智能家居或智能自动化设备,并声称其全球用户超过100万,其中包括通过其智能家居系统连接到的个人、酒店和商业客户。
VpnMentor报告说,它在中国、日本、泰国、墨西哥、法国、澳大利亚、巴西、英国和美国都发现了用户的信息。
目前尚不清楚是否有人利用了该漏洞,而且截止7月1日,该数据库仍然可以访问,并没有密码保护。
更多详情可参考vpnMentor的报告全文: