Cybersecurity News

บันทึกผู้ใช้กว่า 2,000 ล้านคนรั่วไหลจากผู้ให้บริการบ้านอัจฉริยะ

ฐานข้อมูลของ Orvibo ผู้จัดจำหน่ายและให้บริการอุปกรณ์อัจฉริยะและอุปกรณ์ IoT ถูกปล่อยให้เข้าถึงได้โดยไม่มีรหัสผ่าน

ผู้ให้บริการระบบบ้านอัจฉริยะรายหนึ่งของจีนทำบันทึกนับพันล้านคนจากแพลตฟอร์มคลาวด์หลุด โดยข้อมูลดังกล่าวเป็นข้อมูลส่วนตัวของผู้ใช้ที่รวบรวมมาจากอุปกรณ์

ฐานข้อมูลดังกล่าวอยู่ในเซิร์ฟเวอร์ ElasticSearch ขององค์กรจีนที่ชื่อว่า Orvibo โดยไม่มีรหัสผ่านป้องกัน แพลตฟอร์ม SmartMate ซึ่งรวบรวมข้อมูลจากผู้ใช้อุปกรณ์ Internet of Things (IoT) ทั่วโลก เช่น อุปกรณ์ความบันเทิงและความปลอดภัย การบริหารพลังงาน และระบบ HVAC โดยบริษัทมีผลิตภัณฑ์มากกว่า 100 ชนิด และมีผู้ใช้หลายล้านคน ทั้งแบบบุคคลและองค์กร

นักวิจัยจาก vpnMentor ผู้ที่พบการตั้งค่าผิดพลาดของเซิร์ฟเวอร์บอกว่า นอกจากโพสต์ของเขาแล้ว เขายังเตือนไปทาง Orvibo หลายครั้ง แต่เหมือนไม่มีอะไรเปลี่ยนแปลง

ไม่หลักฐานว่าอาชญากรไซเบอร์เข้าถึงข้อมูลอะไรบ้าง แต่ความเป็นไปได้นั้นยังหาปลายทางไม่ได้

นักวิจัยความปลอดภัยของ ESET คุณ Jake Moore บอกว่า: “กลุ่มแฮกเกอร์ทราบเกี่ยวกับฐานข้อมูล แต่ไม่มีใครทราบว่ามีใครเอาข้อมูลไปใช้ประโยชน์หรือยัง และผมหวังเป็นอย่างยิ่งว่าเขาจะเอาฐานข้อมูลนี้ออก เพราะอาชญากรไซเบอร์สามารถทำอะไรที่เกินจินตนาการของเราได้”

ข้อมูลอะไร?

บันทึกข้อมูลมีมากกว่า 2 พันไฟล์ ข้อมูลมีความหลากหลายมาก ทั้ง User ID, ชื่อผู้ใช้, อีเมล, รหัสผ่าน (Hashed), รายละเอียดอุปกรณ์, ข้อมูลตำแหน่ง, IP Address และรหัสรีเซ็ท ซึ่งข้อมูลดังกล่าวเป็นข้อมูลส่วนตัวที่สามารถนำไปต่อยอดและสร้างความเดือดร้อนให้กับผู้ใช้ได้

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2019/07/02/two-billion-logs-leaked-smart-home/
Translated by: Worapon H.

%d bloggers like this: