orvibo数据泄漏将安全焦点放在IoT后端

虚拟专用网络（VPN）测试和审查服务VPnmentor的研究人员已发现属于中国公司Orvibo的公开访问数据库，该数据库为全球客户提供了管理智能家电，包括英国和美国。

呼叫SmartMate的平台数据库没有被发现没有密码保护，尽管包含超过20亿日的日志，但涉及大约200百万客户的智能家居设备，强调了物联网（物联网）设备的大量数据通常收集。

安全影响是巨大的，因为这些SmartMate日志记录详细信息包括用户名，只使用没有盐保护的MD5散列算法，账户重置代码甚至属于inpidual，酒店等企业的IoT设备的精确位置。

只要数据库仍然开放，可用的数据量仍然增加每天增加，使客户通过恶意演员的账户收购风险，VPnmentor警告博客文章。

尽管自6月16日以来有几次联系Orvibo，但VPnmentor研究人员表示，他们没有收到任何响应，数据库继续暴露。

研究人员表示，违反这一规模具有大规模的影响，因为大部分数据都可以拼凑在一起，以扰乱一个人的家，而可能导致进一步的黑客。

他们说，帐户重置代码可能是特别危险的，因为这些都会使黑客能够在不需要他们的密码的情况下将用户锁定用户，并且通过更改密码和电子邮件地址，黑客将使动作不可逆转。

VPnmentor研究人员建议管理IOTED设备的ORVIBO和其他公司应确保他们保护服务器，实现正确的访问规则，并不留下不需要对Internet打开身份验证的系统。

Ben Herzberg威胁公司威尔维尔瓦威胁的威胁研究主任说，留下服务器Openand vdressableis的误诊，这是一种弥重的重建，添加了泄漏服务器的arporponseand修复的orvibo的焊料是unsresponsibleand非常危险。

“一旦服务器留下了开放，攻击者只需要攻击者即将意识到这种脆弱性并接管。在我们的研究中，我们看到特定的Toredis服务器，75％的开放式服务器被接管在加密的计划中。

“当这些系统留下开放攻击者时，他们可以将数据用于他们的优势，接管资源，或者甚至进一步处理组织网络并渗透额外资源，”他说。

根据Herzberg的说法，密码只是散列的事实，但不是盐渍，增加了黑客可能会破解它们来揭示密码的可能性。然后，这些破解的密码可以用于凭据填充攻击，通过密码重复使用。

但是，密码在安全公司BitGlass仍然非常常见的多个账户仍然非常常见。“这意味着如果网络犯罪获得单个密码，那么他们可能会在受害者使用的多个服务中获得许多帐户的访问。

“基本密码保护是一个必须用于保护他们在云中保护其敏感数据的组织必须验证用户的敏感数据，以确保他们在授予他们访问IT资源之前他们是谁。

“幸运的是，多因素身份验证[MFA]和用户和实体行为分析[UEBA]是两个工具，可以帮助公司捍卫客户信息以及其余的企业数据。”

Kahol还警告说，由于奥维博制造和管理智能锁和互联网连接的相机，但是Hacker可能会解锁门并关闭安全摄像头，促进闯入和盗窃。“这是网络安全也如何促进身体安全威胁的巨大典范，”他说。

ESET中的Cyber​​ Security专家Jake Moore表示，SmartMate日志的发现突出了无限可能性对IoT设备的安全性开放的纯粹幅度。

“通过在网站后面的个人可识别和机密数据之后不寻求与所有密码附加的风险一样多。

“如果有人利用这个缺陷，那就不了解，我希望它现在会很快修补。刑事黑客可能会发生什么，就像他们的想象力带走一样，“他说。