Спецпроекты

Открытая всем ветрам база данных содержит 2 млрд пользовательских логов

2625
Безопасность Стратегия безопасности Пользователю Техника
Разработчик решений для «умного дома» Orvibo оставил в открытом доступе огромное количество данных о своих клиентах - включая пароли, геолокацию и почтовые адреса.

С миру по нитке

Китайский производитель технологий «умного дома», компания Orvibo, допустила сверхмасштабную утечку пользовательских данных. В Сеть «ушли» более двух миллиардов логов, собранных компанией от пользователей по всему миру.

Orvibo поставляет интеллектуальные системы, позволяющие управлять системами освещения, энергоснабжения и безопасности домов, офисов и гостиничных номеров, в том числе удалённо. Работа осуществляется через специализированный облачный сервис, на котором аккумулируются и анализируются статистические данные о работе платформы.

Как оказалось, работники Orvibo разместили на незащищённой базе данных более двух миллиардов логов, содержащих колоссальное количество пользовательской информации, в том числе сугубо конфиденциальной: почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии.

Пример утекшего лога «умной камеры» Orvibo

«По сути дела, тут всё или почти всё, что нужно, чтобы перехватить контроль над учётной записью, а следовательно, и оборудованием в доме или офисе, - говорит Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - По сути дела, это всё равно как бросить ключи от «умного дома» на пороге: заходи любой желающий и делай всё, что захочешь, без ограничений. Такое отсутствие базовых мер безопасности для вендора технологий «умного дома» как минимум удивительно».

Чем поживиться

Эксперты vpnMentor выяснили, в частности, что потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, чтобы законный владелец потерял возможность управлять своим аккаунтом, - это уж не говоря о контроле над устройствами «умного дома».

Набор безопасности Orvibo для «умного дома»

Более того, видеопотоки с «умных камер» легко доступны посторонним - достаточно войти в пользовательский аккаунт с помощью паролей в обнаруженной базе данных.

Ну, а возможность удалённого открытия замков с точной геолокацией - это просто подарок грабителям.

База данных располагалась в кластере ElasticSearch. С конца мая разработчик сделал базовые средства защиты Elastic бесплатными для всех, однако незащищённые серверы до сих пор встречаются в изобилии.

Ещё в 2013 г. разработчики ElasticSearch настоятельно рекомендовали владельцам кластеров ограничить доступ к ним локальной сетью, в которой они располагаются. Но и этому, похоже, вняли далеко не все, кто должен.

Является ли база данных по-прежнему общедоступной, неизвестно: vpnMentor не получили ответа от Orvibo.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка