Компанія, яка виробляє розумну платформу управління будинком, пропускала дані про своїх клієнтів і паролі пристроїв через сервер ElasticSearch, який залишився в Інтернеті без пароля.
Про це повідомляє ZDNet.
Сервер належить китайській компанії Orvibo, що базується в місті Шензен, яка управляє SmartMate, платформою для управління смарт-пристроями в сучасному розумному будинку.
Платформа підтримує взаємозв’язок та управління різними смарт-продуктами Orvibo, такими як камери безпеки, смарт-лампочки, термостати, системи HVAC, системи домашнього дозвілля, смарт-розетки, смарт-завіси, автоматичні дверні замки та багато іншого.
Але компанія, здається, неправильно налаштувала один зі своїх серверів, а саме базу даних ElasticSearch, де були зібрані останні журнали підключень – які Orvibo залишили підключеними до Інтернету без пароля.
База даних була виявлена середині червня командою безпеки в vpnMentor, яку очолили дослідники безпеки Ноам Ротем і Ран Локар, які поділилися своїми висновками з ZDNet минулого місяця і попросили допомоги в повідомленні про це постачальника.
Протягом останніх двох тижнів і vpnMentor, і ZDNet зв’язалися з китайською компанією, щоб повідомити їй про свою знахідку. однак, на момент написання статті, Orvibo не спромоглася відповісти або вжити будь-які дії щодо бази.
Як показано на скріншоті нижче, сервер ElasticSearch все ще вільно доступний в Інтернеті, зберігаючи дані журналу підключень до 1 липня 2019 року (дату публікації цієї статті).
Також досі доступний вхід без пароля через систему Kibana, запущену на тому ж сервері. Kibana – це веб-додаток для навігації серед даних сервера ElasticSearch за допомогою графічного інтерфейсу замість текстового інтерфейсу за замовчуванням.
Згідно з повідомленням vpnMentor, що були надані ексклюзивно для ZDNet, за останні два тижні база даних, як видається, перевищила за обсягами два мільярди записів, при цьому кожен запис містить дані про клієнта Orvibo SmartMate.
Дані для кожного запису журналу змінювалися залежно від операцій, які він реєстрував, таких як логіни, скидання пароля, чек-іни пристроів, вихід з системи та інші.
Типові дані, які можна знайти в цих журналах, містили адреси електронної пошти клієнтів Orvibo, IP-адреси пристрою, що перевіряються, імена користувачів Orvibo та хешовані паролі.
У деяких випадках також існувала точна інформація про географічне розташування, прізвище клієнта, ім’я пристрою та інформація про заплановані операції пристрою (наприклад, увімкнення світла в певні години або домашнє сповіщення між певними інтервалами).
Всі записи, які ZDNet проаналізувала, були китайською мовою, але дослідники vpnMentor сказали, що вони також помітили записи журналу для користувачів в Японії, Таїланді, США, Великобританії, Мексиці, Франції, Австралії та Бразилії. Дані для клієнтів у багатьох інших місцях, швидше за все, доступні, хоча ми спеціально не шукали їх для підтвердження.
Але найбільш тривожним фактом є те, що компанія реєструє паролі та коди скидання пароля.
“Orvibo докладає певних зусиль, щоб приховати паролі, які використовуються без MD5”, – сказала команда vpnMentor.
Однак навіть складні паролі MD5 відносно легко зламати, що означає, що кожен, хто має доступ до цієї бази даних, може захопити облікові записи SmartMate і, можливо, взяти під контроль смарт-пристрої користувача, підключені до розумного будинку, керованого користувачем SmartMate.
Як би там не було, навіть якщо хакер не буде успішним у розкритті паролів MD5, він може налаштувати розклад для нових записів журналу з кодами скидання пароля, які додаються на сервер ElasticSearch, який він також може використовувати для захоплення облікових записів Orvibo.
“З цим кодом, доступним у даних, ви можете легко заблокувати користувача зі свого облікового запису, оскільки вам не потрібен доступ до електронної пошти, щоб скинути пароль, – сказала команда vpnMentor. – Код доступний для тих, хто хоче скинути або свою адресу електронної пошти або пароль. Це означає, що зловмисник може назавжди заблокувати користувача зі свого облікового запису, змінивши спочатку пароль, а потім адресу електронної пошти.”
Експерти стверджують, що доступ до облікових записів розумного домашнього хаба дозволить їм шпигувати за користувачами, їх графіком або відеозаписами безпеки.
Злочинні групи можуть організувати пограбування, коли власники житла далеко від будинку, або вони можуть влаштовувати саботаж проти домовласників, або якось знущатися з них, використовуючи енергію, використовуючи інтелектуальні електричні вилки, HVAC або термостати.
Сценарії для зловживань практично нескінченні, і китайська компанія повинна якомога швидше втрутитися, щоб захистити свій сервер, і опосередковано, пристрої своїх клієнтів і приватну інформацію.
До речі, компанія Microsoft повідомила про створення OneDrive Personal Vault, – нової функції хмарного сховища OneDrive, яка дозволить убезпечити особливо важливі файли за допомогою додаткових рівнів захисту.
Також компанія Mozilla запустила проект Track This, який ускладнює рекламне відстеження завдяки відкриттю великої кількості непов’язаних сайтів в Інтернеті.
Окрім цього, менеджер завантажень в Safari у iOS 13 перетворює штатний веб-браузер у просунутий інструмент, що дозволяє досягнути максимуму у роботі з Інтернетом.
