Informe: els dispositius domèstics intel·ligents Orvibo filtren milers de milions de registres d’usuaris

L’equip de recerca de vpnMentor va trobar una filtració a la base de dades d’usuaris d’Ovibo.

El nostre equip d’investigació expert en ciberseguretat, liderat per Noam Rotem i Ran Locar, va descobrir una base de dades oberta vinculada als productes d’Oribo Smart Home. La base de dades inclou més de 2.000 milions de registres que registren tot noms d’usuari, adreces de correu electrònic i contrasenyes, a ubicacions precises. Mentre la base de dades roman oberta, la quantitat de dades disponibles continua augmentant cada dia.

Orvibo afirma tenir al voltant d’un milió d’usuaris. S’inclouen persones particulars que connectaven les seves cases, així com hotels i altres negocis amb dispositius domèstics intel·ligents Orvibo.

Això constitueix una violació massiva de privadesa i seguretat amb implicacions de gran abast. L’incompliment de dades afecta usuaris de tot el món. Hem trobat registres per a usuaris a la Xina, el Japó, Tailàndia, els EUA, el Regne Unit, Mèxic, França, Austràlia i Brasil. Esperem que hi hagi més usuaris representats als 2.000 milions més de registres.

Vam contactar per primer cop a Orvibo per correu electrònic el 16 de juny. Quan després de diversos dies no vam rebre cap resposta, també vam fer un tweet a l’empresa per alertar-los de l’incompliment. Encara no han respost ni s’ha tancat l’incompliment.

Actualització: La base de dades Orvibo s’ha tancat a partir de 2 de juliol.

Exemples d’entrades a la base de dades

La quantitat de dades disponibles als servidors d’Orlibo és enorme. També ho és altament específic, que mostra quantes dades els dispositius domèstics intel·ligents poden recopilar sobre els seus usuaris. Segons la companyia, n’hi ha més d’un milió d’usuaris que han instal·lat productes Orvibo a les seves cases i empreses.

L’empresa xinesa, amb seu a Shenzen, fabrica 100 productes per a la llar intel·ligent o automatització intel·ligent diferents.

Dades incloses a l’incompliment

  • Adreces de correu electrònic
  • Contrasenyes
  • Codis de restabliment del compte
  • Geolocalització precisa
  • adreça IP
  • Nom d’usuari
  • ID d’usuari
  • Nom de familia
  • Identificador de família
  • Dispositiu intel·ligent
  • Dispositiu que va accedir al compte
  • Programació d’informació

En aquest primer exemple, podem veure que Orvibo està recopilant una gran quantitat de dades sobre els seus usuaris. En aquest cas, no es registren tots els punts de dades; tanmateix, tenim altres exemples que inclouen molt dades geogràfiques específiques, noms de família escollits, noms d’usuari, contrasenyes i els codis de restabliment que permetria la presa de comptes.

Aquests registres de dades són del mateix compte, que podem verificar amb el adreça de correu electrònic i número d’identificació d’usuari coincidents. En el primer, només tenim el adreça de correu electrònic, adreça IP i un codi de restabliment. Amb aquest codi accessible a les dades, podríeu accedir fàcilment bloquejar un usuari fora del seu compte, ja que no necessiteu accés al seu correu electrònic per restablir la contrasenya.

El codi està disponible per a aquells que vulguin restablir la seva adreça de correu electrònic o la seva contrasenya. Això vol dir que un mal actor podria bloquegeu definitivament un usuari fora del seu compte canviant primer la contrasenya i després l’adreça de correu electrònic. Orvibo fa un gran esforç ocultant les contrasenyes, que són hashed utilitzant md5 sense sal.

L’exemple anterior és una petita mostra del tipus de dades de geolocalització que tenim. Orvibo manté els registres de coordenades de longitud i latitud precises (llatí ortogràfic a les dades) La precisió de les coordenades ens pot conduir a l’adreça exacta d’un usuari. Això també ho demostra que els seus productes fan un seguiment de la ubicació per si mateix, en lloc de determinar la ubicació basada en una adreça IP.

En aquesta entrada d’un usuari a Mèxic, es mostra exactament a quin dispositiu estava connectat l’usuari quan es van registrar les dades. Segons el lloc web d’Orvibo, HomeMate és un sistema domèstic complet i intel·ligent que utilitza tota una gamma de productes per connectar tota la vostra llar. Aquesta quantitat de dades mostra just el grau de vulnerabilitat d’un usuari si un pirata informàtic s’aprofita d’aquest incompliment.

Un dels productes que ofereix Orvibo és un mirall intel·ligent. Inclou la tecnologia per mostrar el clima i mostrar un calendari. Aquí, tenim un registre de la programació que l’usuari ha establert amb un nom personalitzat. La “setmana de l’hivern AM” ens proporciona informació clara sobre el calendari de l’usuari.

Aquest és un registre de dades que inclou un gran nombre de dispositius connectats a un sol compte. Podem veure un registre clar de l’usuari que en té un La càmera intel·ligent d’Ovibo. Un altre dispositiu es diu “sala de massatges”. Tot i que no tots els noms del dispositiu ens diuen quin és el dispositiu, podria ajudar algú a identificar un pirateig de dispositiu si volguessin fer-ho.

L’etiqueta “sala de massatges” també apunta cap a aquestes dades que probablement pertanyen a un negoci.

Un altre El registre de la càmera intel·ligent inclou un missatge que es gravava paraula. Això obre la possibilitat que un usuari reveli informació encara més personal a través del seu compte.

És important tenir en compte que no tots els registres de dades inclouen cap tipus d’informació personal. Tanmateix, fins i tot amb acabat 2.000 milions de registres per fer cerques, hi havia prou informació per reunir diversos fils i creeu una imatge completa de la identitat d’un usuari.

S’ha trobat diverses incoherències al propi programari d’Orlibo. La majoria dels registres es van crear íntegrament en anglès, que inclou noms de lloc, com a exemple. Tanmateix, també vam trobar que diversos registres tenien països i ciutats gravats en xinès en lloc d’anglès. No sembla que hi hagi coherència quant a l’ús del xinès versus l’anglès.

Impacte de la incomplicació de dades

Un incompliment d’aquesta mida té implicacions massives. Cada dispositiu del catàleg de productes d’Ovibo pot tenir un efecte negatiu diferent sobre els usuaris. Es tracta, sobretot, d’informar informació sobre els usuaris. Gran part de es poden combinar ambdues dades per alterar la casa d’una persona alhora que possiblement condueix a més embats.

Tot i que Orvibo no conté les seves contrasenyes, vam provar la seguretat nosaltres mateixos per veure el fàcil que era descobrir la contrasenya real. En alguns casos, vam descobrir la nostra pròpia contrasenya, però en d’altres, no podríem trencar el hash. Per provar-ho, vam crear el nostre propi compte, després vam cercar la nostra adreça de correu electrònic per veure quina informació del compte era accessible. Tot i que la nostra contrasenya escollida es va rentar, va ser fàcil de crack. 

Si Orvibo hagués afegit sal a les seves contrasenyes hash, s’hauria creat una cadena més complexa que és molt més difícil de trencar. Salt funciona afegint una cadena aleatòria a una contrasenya existent, que després és hashed. Des que es desconeix la sal, és molt difícil determinar quina peça de la contrasenya és genuïna i quina peça era la cadena afegida.

Això destaca especialment per què és tan important triar contrasenyes contundents, sobretot quan estan connectats a dispositius amb nivells de seguretat incerts.

Tot i que amb contrasenyes contundents, hi ha la base de dades d’Orvibo inclosa una informació perillosa. En examinar els seus registres, vam trobar codis de restabliment del compte als registres de dades. Aquestes enviarien a un usuari per restablir la seva contrasenya o la seva adreça de correu electrònic. Amb aquesta informació fàcilment accessible, un hacker podria bloquejar un usuari fora del compte sense necessitar la seva contrasenya. Si canvieu la contrasenya i l’adreça de correu electrònic, l’acció seria irreversible.

Orvibo ofereix una àmplia gamma de solucions per connectar casa vostra. Encara no inclouen els aparells intel·ligents a les seves línies de incorporació, però hi ha molts danys que es poden fer a través dels productes que tenen al mercat.

Fins i tot es pot piratejar una presa intel·ligent, per exemple canviar el nivell de consum d’energia de l’usuari sense el seu coneixement. Un altre escenari és tallant el poder mitjançant endolls intel·ligents, que podria submergir un usuari en la foscor en un moment en què necessitava una bona il·luminació. Per a molta gent, això podria ser una situació perillosa. Si es produís en un lloc d’empresa, d’altra banda, un fet d’aquest tipus també seria probable conduir a ingressos perduts.

Moltes llars intel·ligents utilitzen endolls connectats com aquests per estalviar energia en aparells que no utilitzen. Si algú canvia la configuració d’un sòcol sense el coneixement de l’usuari, pot arribar a una situació en què un aparell principal, com ara un forn, s’encendria i s’escalfaria sense vigilància.

La situació és similar per als interruptors de llum intel·ligents. Tot i que el fet de deixar les llums enceses innecessàriament pot no ser un desastre, pot augmentar el consum d’energia d’una manera subtil, però impactant. Com que el canvi no seria dràstic, també pot resultar més difícil copsar-lo. Per a un canvi més dràstic, es podria fer càrrec del sistema d’HVAC, que consumeix significativament més energia que les llums o les cortines motoritzades. Fins i tot apagar i engegar ràpidament aquests aparells pot danyar els circuits elèctrics i trencar els motors.

Orvibo no només està dirigit a cases individuals. També tenen perfils diferents per a oficines i hotels. Canviar la configuració d’electricitat en un edifici d’oficines o un hotel tindrà un efecte molt més significatiu. Això podria ràpidament menjar en els beneficis d’una empresa més petita alhora que dificulta esbrinar per què són tan elevats els seus costos.

Tot i això, n’hi ha altres dispositius amb una mala seguretat que puguin tenir conseqüències més severes. Alguns dispositius que ofereix Orvibo es troben sota el paraigua de “seguretat domèstica”. Inclouen panys intel·ligents, càmeres de seguretat domèstiques i kits de casa intel·ligents complets. Amb la informació que ha estat filtrada, està clar que no hi ha res segur sobre aquests dispositius. Fins i tot tenir un d’aquests dispositius instal·lats pot perjudicar, més que no pas millorar, la vostra seguretat física.

Hi ha prou informació filtrada de la base de dades que forma assumir el compte d’un usuari una tasca prou senzilla. Un actor maliciós podria fàcilment accedeix al flux de vídeo des d’una de les càmeres intel·ligents d’Orvibo en entrar al compte d’un altre usuari amb les credencials que es troben a la base de dades. Al mateix temps, seria fàcil desbloquejar una porta del mateix compte. Amb una geolocalització precisa, això simplifica les interrupcions de casa, Se suposa que les cases intel·ligents poden ajudar a protegir-se.

Les dades que estan escrivint els dispositius d’Ovibo van més enllà dels panys intel·ligents i les càmeres de seguretat. Un dels altres dispositius és un mirall intel·ligent, que inclou pantalles meteorològiques integrades i un calendari. Com vam veure a les dades anteriors, alguns els usuaris tenien informació molt detallada sobre els seus horaris enregistrats a través del mirall intel·ligent. Si algú vol seguir un usuari fora de casa seva, podrien trobar la informació que necessita Per fer-ho, combinant les dades de programació de la base de dades. Podem visualitzar el nom de la programació, així com els registres de temps, que inclouen la setmana, el dia i l’hora, fins a la segona.

Dos altres dispositius que fabrica Orvibo es troben sota el paraigua de Home Entertainment. Un dels dispositius és el Magic Cube Wifi Controller; un altre és el controlador ZigBee. Al seu nivell més bàsic, un pirata informàtic podria prendre el control d’aquests dispositius per arruïnar una experiència de TV o pel·lícula d’usuaris. Tanmateix, amb un control fàcil del televisor, un pirata informàtic podria encendre’l i augmentar el volum en un moment inconvenient. Qualsevol persona es pot trobar a la línia de alteracions del soroll, encara que no fossin conscients del pirateig. L’impacte canvia i creix, però, quan la víctima és un negoci.

Els pirates informàtics podrien fàcilment feu fora de tota la xarxa fora de línia amb un conjunt completament connectat d’aquests articles domèstics intel·ligents. Això es traduiria en un pèrdua directa d’ingressos sumada a una pèrdua de confiança del client. Quan un edifici o habitatge complet es basa en tecnologia connectada per a la seguretat, una interrupció pot aturar tota l’operació.

Això és un problema creixent quan es tracta del que s’anomena Internet de les coses. Es refereix a tots els dispositius intel·ligents que es comuniquen entre ells mitjançant una connexió a Internet. Tot i que, com a indústria que és relativament jove, hi ha moltes problemes de seguretat que han de ser abordats pels fabricants mentre encara poden.

Internet de les coses no només suposa un risc per a la seguretat. Si bé els comptes virtuals de qualsevol persona poden veure’s amenaçats per una fuga de dades que enllaça el seu correu electrònic, les contrasenyes i la ubicació, també soscava la seva privadesa. És possible que molts usuaris no estiguin tan preocupats vigilància governamental, però per a aquells que ho són, bases de dades com Orvibo poden pintar una imatge detallada de la vida d’un usuari.

Assessorament dels experts

N’hi ha diverses mesures de seguretat que Orvibo podria haver pres, que hauria ajudat a prevenir aquest incompliment. A continuació, podeu trobar alguns consells essencials que us poden ajudar a prevenir o pegar una base de dades vulnerable.

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu com protegir el vostre lloc web i la base de dades en línia dels pirates informàtics.

Com vam descobrir l’incompliment

Hem descobert aquest incompliment com a part de la nostra projecte de mapeig web. El nostre equip d’experts en ciberseguretat examina els ports que busquen blocs IP coneguts. Utilitzant aquests blocs, Noam i Ran poden cercar vulnerabilitats en un sistema web. Quan l’equip descobreix dades filtrades, utilitzen la seva comprensió tècnica per confirmar a qui pertany la base de dades.

Després de trobar una fuita, contactem amb el propietari de la base de dades per alertar-los de les vulnerabilitats del sistema. Quan sigui possible, també contactarem amb els afectats per l’incompliment de dades. El nostre objectiu amb aquest projecte és promoure una internet segura i segura per a tots els usuaris.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori de recerca és un servei professional que pretén aconseguir-ho ajudar la comunitat en línia a defensar-se contra les amenaces cibernètiques alhora que eduquen a les organitzacions a la protecció de les dades dels seus usuaris.

Recentment hem descobert un enorme incompliment de dades que va afectar 78 mil pacients que prenien Vascepa. També vam revelar que xSocialMedia va patir una fractura generalitzada de dades. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Per favor comparteix aquest informe a Facebook o tuiteu-lo.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me