圖片來源:vpnMentor

安全廠商發現,一家中國智慧家庭設備廠商將包含用戶名、家人名、密碼及地點等20億筆資料的資料庫,公開於網路上。

安全公司vpnMentor研究人員Noam Rotem及Ran Locar領導的研究部門,近日在公開網路上發現一個內容豐富的資料庫,屬於Orvibo的智慧家庭產品。研究人員是透過尋找已知IP區塊內的Web系統漏洞,進而發現了這個資料庫及所屬單位。

Orvibo(歐瑞博)是總部位於中國深圳的智慧家庭製造商,生產智慧家庭或智慧自動化產品超過百項,包括智慧插座、Wi-Fi攝影機、溫控裝置、溫濕度感測器,宣稱擁有100萬個企業、飯店等公司行號或家庭用戶,其產品也在台灣銷售。

公開的資料庫包含超過20億筆紀錄,涵括用戶姓名、ID、電子郵件、IP、密碼、家人姓名、家人ID、連網裝置、重設密碼、及精確定位座標等,從地點來看,受害者也遍及全球,包括中國、日本、泰國、美國、英國、墨西哥、法國、澳洲及巴西等地。

這次外洩的資料顯示Orvibo對用戶資料蒐集地鉅細靡遺。例如一個帳號下蒐集了精細座標、選定的家人姓名、用戶名、密碼和重設碼等。另一筆帳號則可找到電子郵件、用戶ID碼、IP及重設碼。Orvibo的確有以MD5加密保護密碼,但並未做到加鹽處理。研究人員還發現外洩資料包含用戶在Orvibo智慧鏡子中輸入的行事曆資料,並在一名用戶裝置資訊看到使用者設定的房間名稱。研究人員指出,這些外洩資訊足以讓得手的攻擊者竄改用戶密碼、電子郵件、永遠讓用戶無法存取其帳號,追蹤用戶詳細位置,甚至變更智慧插座的設定,造成爐具在家中無人時啟動而引發意外。

研究人員於6月16日首度聯絡Orvibo,隨後再以到該公司推文留言,但都沒有接獲回應,也未修補系統漏洞。研究人員表示情況允許的話,也會直接聯絡並告知受害用戶。


Advertisement

更多 iThome相關內容