外媒报道 Orvibo 泄露全球用户 20 亿条日志记录,vpn Mentor 确认该漏洞已经修复

阅读数:4344 2019 年 7 月 8 日 11:09

外媒报道 Orvibo 泄露全球用户20亿条日志记录,vpn Mentor 确认该漏洞已经修复

外媒报道,由 Noam Rotem 和 Ran Locar 领导的网络安全研究团队发现了一个与 Orvibo 智能家居产品相关的公开数据库,该数据库中包含了超过 20 亿条日志,囊括了从用户名、电子邮件地址、密码到精确位置等内容,且只要数据库保持开放状态,每天可用的数据量就会不断增加。

Orvibo 是一家专注于智能家居产品和智能家居系统的创新型企业,公司总部位于深圳。Orvibo 声称拥有百万用户,其中包括通过其智能家居设备连接到的家庭、酒店以及个人。一旦发生数据泄露,可能会影响到来自世界各地的用户。据悉,在泄露的 20 亿条日志中已经找到了来自日本、泰国、美国、英国、墨西哥、法国、澳大利亚、巴西等多个国家和地区的用户。

事件回溯

6 月 16 日,网络安全研究团队向 Orvibo 发送了电子邮件,但是没有收到任何回复,之后又在 Twitter 上发布推文提醒 Orvibo。

外媒报道 Orvibo 泄露全球用户20亿条日志记录,vpn Mentor 确认该漏洞已经修复

从公开的数据库中,我们可以看到泄露的数据信息包括电子邮件地址、密码、帐户重置代码、精确的地理定位、IP 地址、用户名、用户身份、家庭 ID、智能设备、访问帐户的设备和调度信息等。

需要注意的是,我们无需访问电子邮件即可重置密码,这意味着如果攻击者先更改密码,然后再改电子邮件地址就可以永久锁定用户账户。不过,Orvibo 在密码存储方面做了一些工作,密码使用 md5 进行了哈希处理。

在某些用户的条目中,它会准确显示用户在记录数据时是连接的哪个设备。从 Orvibo 的网站介绍来看,HomeMate (中文名称:智家 365 )是个完整的智能家居系统,全系列产品会连接到家庭,这意味着如果攻击者利用此漏洞可以很轻易的攻击用户。

外媒报道 Orvibo 泄露全球用户20亿条日志记录,vpn Mentor 确认该漏洞已经修复

  • 智能镜子:包含了显示天气和时间表的功能,其中有个日志是用来记录用户使用自定定义名称设置,“Winter week AM”提供了有关用户日历的准确信息。

外媒报道 Orvibo 泄露全球用户20亿条日志记录,vpn Mentor 确认该漏洞已经修复

  • 智能相机:该数据日志中包括了连接到单个账户的大量设备,可以看到拥有 Orvibo 智能相机的用户记录;该数据日志中还包括了一个单词记录的消息,似乎是用户开启了通过其帐户显示多人信息。
  • massage room:这个标签似乎是指向属于企业的数据。

虽然并非是每个数据日志都包含了各种类型的个人信息,但是当攻击者拥有了超过 20 亿条记录,就能够把足够多的数据组合在一起,拼凑出完整的用户身份信息。

如何避免出现类似 Orvibo 这样的数据泄露呢?专家给出了三条切实的建议:

  1. 保护好服务器;
  2. 实施适当的访问规则;
  3. 永远不要将不需要身份验证的系统留在互联网上。

事件后续:vpn Mentor 确认安全漏洞已修复

目前,vpn Mentor 确认 Orvibo 已修复安全漏洞,安全威胁已消除。

Orvibo 于 7 月 2 日在其英文 Twitter 发布了信息,称研发和安全团队已修复安全漏洞,并确认该漏洞并未造成实际用户损失。随后 vpn Mentor 也在其 blog 更新了报告,确认 Orvibo 已经完成了风险修复。国外相关媒体已向 vpn Mentor 团队核实相关信息。

针对此次事件,Orvibo 做出了以下声明:

  1. vpn Mentor 所指安全风险所威胁的“20 亿条数据”主要是指 20 亿条测试和仿真的日志,并非实际用户数据。Orvibo 全球 IOT 用户仅 300 万,远远没有达到 20 亿用户。不存在所谓“20 亿用户数据泄露”的可能;
  2. 由于 vpn Mentor 的及时发现和快速沟通,Orvibo 安全和技术团队确认,除 vpn Mentor 之外,并没有其他机构访问和下载该日志,在漏洞修复后,安全威胁已解除;
  3. 出现问题的第三方日志系统 Elasticsearch 只应用在了 Orvibo 北美 AWS 服务器上,因此漏洞不会威胁到北美之外的其他地区(包括中国)的 IOT 用户和设备;
  4. 已经立即升级密码加密机制,同时升级对用户帐户和密码重置的保护;
  5. Orvibo 与国内专业的安全公司合作,并启动了安全反馈和沟通机制,在官网公布了安全问题反馈邮箱:security@orvibo.com,以进一步加强 Orvibo 全球 IOT 服务器的安全可靠性。

智能家居行业存在的数据泄露风险

随着人工智能的发展和落地,越来越多的智能家居设备开始进入到寻常百姓家,据 IDC 预计,
到 2020 年物联网市场规模将会突破 7 万亿美元,物联网设备达到 300 亿台。智能家居在给我们带来便利的同时,也给我们带来了信息泄露的风险。

据国家计算机网络应急技术处理协调中心的调查报告显示:2018 年,CNVD 收录的安全漏洞中关于联网智能设备安全漏洞有 2244 个,同比增长 8.0%。这些安全漏洞涉及的类型主要包括设备信息泄露、权限绕过、远程代码执行、弱口令等;涉及的设备类型主要包括家用路由器、网络摄像头等。

根据工业互联网安全应急响应中心发布的《智能家居行业网络安全风险分析报告》,智能家居的安全风险主要来自三个方面:智能设备、智能 APP 和智慧云平台。

智能设备风险:一是智能设备主要通过网络远程控制,常用的传感通信技术包括 WiFi、RFID、蓝牙、ZigBee、NB-IoT、GPS 等暴露了不同程度的安全问题;二是智能家居的硬件传感器连接相对暴露,并且对访问控制的强度不足;三是智能设备大多是基于 linux Kernel 开发的,但 Linux 并不是针对此类终端设计的,所以适配智能设备之后会引发安全漏洞。另外,Linux 自身存在的漏洞,由于智能设备更新周期长或缺乏固件更新功能,从而引发安全问题。

智能 APP 风险:智能家居 APP 存在的主要问题有两个,一是 APP 开发时,安全方面设计的不全面,二是开发完成之后,可能未进行安全加固和审查。如果更具体的描述这些问题,表现为:伪造应用、不安全的授权与数据通信及存储、调试日志信息泄露风险、源代码反编译风险和数据任意备份风险等。

智慧云平台风险:目前智慧云服务器普遍采用开源框架或老版本的 Web 应用服务器,导致云端的管理系统和数据 Web 接口存在着很多传统 Web 的安全隐患。另外,有些智能家居厂商安全意识比较薄弱、对用户隐私问题重视不够,权限设置不严格,也会导致一系列风险问题,例如管理后台与测试接口暴露、身份认证不足、暴力破解、Web 典型漏洞等。

云平台成为网络攻击的重灾区

随着云计算的发展和企业迁移上云,云平台也成为了攻击者的攻击对象。据 CNCERT 监测数据,虽然国内主流云平台使用的 IP 地址数量仅占我国境内全部 IP 地址数量的 7.7%,但在各类型网络安全事件数量中,云平台上的 DDoS 攻击次数、被植入后门的网站数量、 被篡改网站数量均占比超过 50%。

为什么攻击者越来越多的通过云平台来进行攻击呢?首先,为了实现更好的性能和成本控制,越来越多的系统选择上云,其中不乏涉及大量企业运营数据、用户个人信息的系统;其次,云网络流量复杂,便于攻击者隐藏身份;最后,云平台用户对其部署在云平台上系统的网络安全防护没有引起足够的重视。

国内主流云平台上承载的恶意程序种类数量占境内互联网上承载的恶意程序 种类数量的 53.7%,木马和僵尸网络恶意程序控制端 IP 地址 数量占境内全部恶意程序控制端 IP 地址数量的 59%。因此,云厂商和用户都要重视云平台的安全,于云厂商来说,不仅要提供基础性的网络 全防护措施,还要提供云平台的安全性和可控性;于用户来说,一定要重视部署在云平台上的系统安全,全面落实网络安全防护要求。

参考链接:

https://www.vpnmentor.com/blog/report-orvibo-leak/

评论

发布