中国智能家居解决方案供应商Orvibo泄漏20亿条用户日志

iso60001  133天前

22.jpg

本文已于2019年7月4日15:00更新了厂商回复的内容。

vpnMentor的研究小组在Orvibo的用户​​数据库中发现了泄漏。

该安全研究小组由Noam Rotem和Ran Locar领导,发现了一个与Orvibo智能家居产品相关的可任意访问的数据库。该数据库包含20多亿条日志,记录了用户名、电子邮件地址、密码和精确定位等一系列敏感信息,而且数据量还在每天持续增加中。

Orvibo声称拥有大约一百万用户。既包括在个人的家庭用户,也有使用了Orvibo智能家居设备的酒店和其他企业。

此次泄漏事件对隐私和安全造成了巨大的破坏,影响了世界各地的用户。仅仅通过粗略的查看,我们就在日志中找到了中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西用户的痕迹。预计这20亿条日志覆盖的国家总数将十分惊人。

我们将于6月16日通过电子邮件与Orvibo进行了联系。但一直没有收到回复,我们也尝试通过推特进行联系,但仍然没有回应。

数据库数据示例

这台属于Orvibo的服务器上有大量极具价值的数据,而且记录的非常清晰,一目了然。这家位于中国深圳的公司生产了100多种不同的智能家居或自动化产品。

泄露的敏感数据项目:

  • 电子邮件地址

  • 密码

  • 帐户重置代码

  • 精确地理位置

  • IP地址

  • 用户名

  • 用户ID

  • 家庭名称

  • 家庭ID

  • 智能设备

  • 帐户关联的设备

  • 规划信息

33.png

在上个示例中,我们可以看到Orvibo收集了大量关于用户的数据。不同的记录所涉及的项目有所不同,在其他的记录中,还有非常具体的地理位置、家庭名称、用户名、密码和用于帐户接管的重置代码。

44.png

55.png

从数据库所泄露的数据中,我们不仅验证了这些信息真实性,还发现可以直接使用重置代码将原本的用户排除在他们的帐户外,并在无需电子邮件验证的情况下随意锁定帐户。此外,所泄露密码被MD5处理过。

66.png

77.png

而上面图片中例子涉及到了地理位置数据。Orvibo保存了精确的经度和纬度坐标的(在数据中的标记为latotide)。这些坐标的精确性可以直接引导我们找到用户的确切地址。这也表明,他们的产品可以不依靠IP,自己精准定位。

88.png

在上面这个来自墨西哥用户的记录中,它精确地显示了用户连接的设备。根据Orvibo网站的说明,HomeMate是一个全智能家居系统,它帮助你将整个家庭进行网络互连。这个设备如果被黑客攻陷,危害巨大。

99.png

Orvibo还有一个产品是智能镜子,它能显示天气和时间表。而在泄露的数据里,用户在这个镜子上所做的所有设置都被泄露,包括当地的天气情况。

100.png

而上图的日志显示,某个帐户拥有大量设备。我们可以清楚地看到该账户拥有Orvibo的一台智能相机。还有一个设备叫做“按摩室”。虽然不是所有的设备名称都能说明设备位置,但对于那些有毅力去分析的黑客,也许可以起到意想不到的效果。

“按摩室”可能代表这条数据属于某个企业。

110.png

另一条智能摄像头日志还包含一条逐字记录的消息。这就代表用户的个人信息已被直接泄露。

经过上面的分析,相信大家都明白这里面所蕴含的危险性。如果把这20亿条数据中价值全部榨取出来,可能会威胁到不少人的人身安全。

我们还发现Orvibo软件本身的一些不寻常之处。大多数日志都是完全用英语创建的,即使地名也是如此。但是,其他一些日志中国家和城市是用中文而不是英文。目前我们还没有发现这其中有什么规律。

影响

这种规模的数据泄露造成的影响是难以估计的,不管是对于个人还是企业。黑客只要做足够多的分析,有可能比你自己还了解你。

虽然Orvibo会对密码进行MD5处理,但并没有加盐。经过我们测试(包括我们自己创建的帐户),虽然某些密码哈希并不能短时间内破解,但还是有不少密码哈希被破解出来。

而且,即使抛开密码问题,Orvibo还记录了重置代码,黑客可以直接利用其在不需要密码的情况下将用户排除在他们的帐户之外。

虽然Orvibo的产品并不包括市面上所有的智能设备,但还是有可能对其他厂商的设备造成影响。例如,如果黑客控制了一个智能插座,那么所有连接到插座的设备都会受到影响。特别是如果在商业场所,造成的影响会更大。此外,这些电器的工作还有可能直接影响到用户的身体安全。

而受影响最严重的应该是Orvibo旗下的“家庭安全”设备,包括智能锁、家庭安全摄像头和全套的智能家居套件等。根据所泄露的信息,这些设备面对黑客时没有任何抵抗能力。

随着物联网的飞速发展,每个人都要意识到,这巨大便利的背后隐藏着巨大的风险。这不仅仅是Orvibo一家公司的问题,而是整个物联网要面临的挑战。

更新:vpnMentor在文章发布不久后表示,数据库已关闭。


在此文章发表后,Orvibo积极和我们进行了联系,交流结果如下:

vpnMentor确认Orvibo已修复安全漏洞,安全威胁已消除。
Orvibo于7月2日在其英文Twitter发布了信息,称研发和安全团队已修复安全漏洞,并确认该漏洞并未造成实际用户损失。随后vpn Mentor也在其BLOG更新了报告,确认Orvibo已经完成了风险修复。国外相关媒体已向vpnMentor团队核实相关信息。
同时,Orvibo有关人员表示:
1、vpnMentor所指安全风险所威胁的“20亿条数据”主要是指20亿条测试和仿真的日志,并非实际用户数据。orvibo全球IOT用户仅300万,远远没有达到20亿用户。不存在所谓“20亿用户数据泄露”这个可能。
3、由于vpnMentor的及时发现和快速沟通,Orvibo安全和技术团队确认,除vpnMentor之外,并没有其他机构访问和下载该日志,在漏洞修复后,安全威胁已解除。
3、出现问题的第三方日志系统ElasticSearch只应用在了orvibo北美AWS服务器上,因此漏洞不会威胁到其北美外其他地区(包括中国)的IOT用户和设备。
4、已经立即升级密码加密机制,同时升级对用户帐户和密码重置的保护。
5. orvibo与国内专业的安全公司合作,并启动了安全反馈和沟通机制,在官网公布了安全问题反馈邮箱:security@orvibo.com,以进一步加强orvibo全球IOT服务器的安全可靠性,

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.vpnmentor.com/blog/report-orvibo-leak/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号