安全厂商发现,一家中国智能家庭设备厂商将包含用户名、家人名、密码及地点等20亿笔数据的数据库,公开于网络上。
安全公司vpnMentor研究人员Noam Rotem及Ran Locar领导的研究部门,近日在公开网络上发现一个内容丰富的数据库,属于Orvibo的智能家庭产品。研究人员是通过寻找已知IP区块内的Web系统漏洞,进而发现了这个数据库及所属单位。
Orvibo(欧瑞博)是总部位于中国深圳的智能家庭制造商,生产智能家庭或智能自动化产品超过百项,包括智能插座、Wi-Fi摄影机、温控设备、温湿度传感器,宣称拥有100万个企业、饭店等私人企业或家庭用户。
公开的数据库包含超过20亿笔纪录,涵盖用户姓名、ID、电子邮件、IP、密码、家人姓名、家人ID、联网设备、重设密码、及精确定位座标等,从地点来看,受害者也遍及全球,包括中国、日本、泰国、美国、英国、墨西哥、法国、澳洲及巴西等地。
这次外泄的数据显示Orvibo对用户数据搜集地巨细无遗。例如一个帐号下搜集了精细座标、选定的家人姓名、用户名、密码和重设码等。另一笔帐号则可找到电子邮件、用户ID码、IP及重设码。Orvibo的确有以MD5加密保护密码,但并未做到加盐处理。研究人员还发现外泄数据包含用户在Orvibo智能镜子中输入的行程表数据,并在一名用户设备信息看到用户设置的房间名称。研究人员指出,这些外泄信息足以让得手的攻击者篡改用户密码、电子邮件、永远让用户无法访问其帐号,关注用户详细位置,甚至变更智能插座的设置,造成炉具在家中无人时启动而引发意外。
研究人员于6月16日首度联系Orvibo,随后再以到该公司推文留言,但都没有接获回应,也未修补系统漏洞。研究人员表示情况允许的话,也会直接联系并告知受害用户。