2 מיליארד רשומות נחשפו עקב הפרה חמורה בחברת IoT סינית

חברת אורביבו הסינית – ספקית פתרונות ביתיים חכמים – הותירה מסד נתונים שלה חשוף לציבור, וזה כלל לא פחות מ-2 מיליארד יומני משתמש המכילים נתונים רגישים של לקוחות החברה ממדינות רבות ברחבי העולם.

אורביבו היא ספקית מובילה בתחום האינטרנט של הדברים ומציעה פתרונות המיועדים לניהול בתים, משרדים וחדרי מלון, באמצעות מערכות חכמות לתחומי האבטחה וניהול האנרגיה, כמו גם לשליטה מרחוק ולצבירת נתונים באמצעות פלטפורמת ענן.

חברת אבטחת הסייבר vpnMentor היא שגילתה את מסד הנתונים הפתוח המקושר למוצרי Orvibo Smart Home. בהודעת בלוג באתר האינטרנט של הjcrv קבעו חוקרי vpnMentor כי מסד הנתונים שנחשף: "כולל למעלה מ-2 מיליארד יומני רישום הכוללים החל משמות משתמש, כתובות דוא"ל וסיסמאות, ועד למיקומים מדויקים".

"יצרנו קשר לראשונה עם אורביבו בדוא"ל ב-16 ביוני. כאשר לא קיבלנו תגובה לאחר מספר ימים, גם צייצנו לחברה בכדי להודיע להם על ההפרה. הם עדיין לא הגיבו, וכן ההפרה לא נחסמה", נכתב בפוסט.

אתר ZDNet דיווח כי למרות המאמצים המתמשכים ליצור קשר עם החברה, לא רק שלא הייתה תגובה, אלא שמסד הנתונים נותר נגיש באופן מקוון ללא הגנה באמצעות סיסמה. לפי חברת האבטחה, אל המאגר החשוף ממשיכים לזרום נתונים חדשים מדי יום, וגם אלו חשופים לעין כל.

לפרוץ פיזית לבתים ללא כל קושי

לפי אתרה של ספקית ה-IoT הסינית, יש לה כמיליון משתמשים בכללם עסקים ואנשים פרטיים, שלהם היא סיפקה התקני בית חכם. vpnMentor טענה בפוסט שלה ש"אנו מניחים שיש יותר משתמשים המיוצגים ב-2 מיליארד פלוס היומנים" והוסיפה וכתבה גם שהמאגר העצום שהוזנח והתגלה על ידיה חשוף "מהווה הפרה מסיבית של הפרטיות והביטחון, עם השלכות מרחיקות לכת. הפרת הנתונים משפיעה על משתמשים מרחבי העולם. מצאנו יומנים למשתמשים בסין, יפן, תאילנד, ארה"ב, בריטניה, מקסיקו, צרפת, אוסטרליה וברזיל".

אחד הממצאים החמורים יותר במאגר הוא קודי איפוס החשבון – אם אלו נמצאים על ידי גורמים זדוניים, הם יכולים לעשות במידע המסוים שימוש בכדי לחסום בפני משתמשי אורביבו גישה לחשבונותיהם. כמו כן, על ידי שינוי הסיסמה בשילוב כתובת הדוא"ל החשבון יכול לספק להאקרים שליטה מלאה של מכשירי הבית החכם של הלקוח לכל צורך שהוא. כך למשל, ההאקרים יכולים לעשות שימוש בנתוני המיקום על הלקוח ולהיעזר במידע על לוחות הזמנים שלו (שגם הם חלק מהמאגר), בכדי לדעת מתי אינו בבית, ולפתוח מרחוק דלתות חכמות, ובכך לפרוץ פיזית לבתים ללא כל קושי.

צוות המחקר של vpnMentor גילה כי גם "הזנות וידיאו ממצלמות חכמות נגישות בקלות (במאגר שנחשף – ג"פ) על ידי הזנת החשבון של הבעלים, והאישורים".

"ייתכן שקבוצות פליליות היו מודעות לפגיעות זו, אך לא ידוע אם מישהו ניצל את הפגם הזה עדיין", אמר ג'ייק מור, מומחה לבטיחות באינטרנט ב-ESET, לפורבס והוסיף: "הייתי מקווה שזה יתוקן די מהר עכשיו שזה נודע".

"הדבר הטוב ביותר עכשיו בעבור אנשים מושפעים הוא לוודא שסיסמאות המכשיר החכם שלהם משתנות באופן מיידי למשהו ארוך ומורכב, כמו גם בחשבונות אחרים שבהם אותה סיסמה ניתנת לשימוש מחדש", ייעץ מור.