<< НАЗАД ко всем статьям Разработчик решений для «умного дома» Orvibo оставил в открытом доступе огромное количество данных о своих клиентах — включая пароли, геолокацию и почтовые адреса. К итайский производитель технологий «умного дома», компания Orvibo, допустила сверхмасштабную утечку пользовательских данных. В Сеть «ушли» более двух миллиардов логов, собранных компанией от пользователей по всему миру. Orvibo поставляет интеллектуальные системы, позволяющие управлять системами освещения, энергоснабжения и безопасности домов, офисов и гостиничных номеров, в том числе удалённо. Работа осуществляется через специализированный облачный сервис, на котором аккумулируются и анализируются статистические данные о работе платформы. Как оказалось, работники Orvibo разместили на незащищённой базе данных более двух миллиардов логов, содержащих колоссальное количество пользовательской информации, в том числе сугубо конфиденциальной: почтовые адреса, пароли, коды сброса паролей, точные геолокационные данные, IP-адреса, пользовательские имена и идентификаторы, наименования устройств, записи разговоров, сделанные через смарт-камеру и так далее. В открытом доступе оказались сведения пользователей из Китая, Японии, Таиланда, США, Мексики, Великобритании, Франции, Австралии и Бразилии. «По сути дела, тут всё или почти всё, что нужно, чтобы перехватить контроль над учётной записью, а следовательно, и оборудованием в доме или офисе, - говорит Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — По сути дела, это всё равно как бросить ключи от «умного дома» на пороге: заходи любой желающий и делай всё, что захочешь, без ограничений. Такое отсутствие базовых мер безопасности для вендора технологий «умного дома» как минимум удивительно». Эксперты vpnMentor выяснили, в частности, что потенциальным злоумышленникам достаточно поменять пароль и почтовый адрес, чтобы законный владелец потерял возможность управлять своим аккаунтом, — это уж не говоря о контроле над устройствами «умного дома». Более того, видеопотоки с «умных камер» легко доступны посторонним - достаточно войти в пользовательский аккаунт с помощью паролей в обнаруженной базе данных. Ну, а возможность удалённого открытия замков с точной геолокацией — это просто подарок грабителям. База данных располагалась в кластере ElasticSearch. С конца мая разработчик сделал базовые средства защиты Elastic бесплатными для всех, однако незащищённые серверы до сих пор встречаются в изобилии. Ещё в 2013 г. разработчики ElasticSearch настоятельно рекомендовали владельцам кластеров ограничить доступ к ним локальной сетью, в которой они располагаются. Но и этому, похоже, вняли далеко не все, кто должен. Является ли база данных по-прежнему общедоступной, неизвестно: vpnMentor не получили ответа от Orvibo. Источник: CNews