Специалисты компании vpnMentor обнаружили, что китайский вендор IoT-услуг Orvibo оставил свою базу ElasticSearch открытой для всех желающих и доступной без пароля.
Компания Orvibo использует собственную платформу SmartMate для управления IoT-устройствами в умных домах. Данная платформа создана для поддержания взаимосвязи и управления различными умными продуктами, созданными компанией (это могут быть камеры наблюдения, лампочки, термостаты, системы отопления, вентиляции и кондиционирования воздуха, домашние развлекательные системы, умные розетки, дверные замки и многое другое).
В середине июня исследователи заметили, что производитель оставил без защиты БД ElasticSearch на одном из своих бэкэнд серверов. В базе содержались журналы подключений, и связанная установка Kibana, запущенная на том же сервере, также оказалась доступной без пароля.
По данным аналитиков, эта БД постоянно пополняется и сейчас содержит примерно два миллиарда записей, каждая из которых связана с клиентом Orvibo SmartMate. Информация для каждой записи в логах варьируется в зависимости от операции, с которой связана запись. К примеру, это может быть вход в систему, сброс пароля, выход из системы и так далее.
В таких журналах можно найти email-адреса клиентов Orvibo, IP-адреса устройств, имена пользователей и хэшированные пароли. В некоторых случаях также можно обнаружить информацию о геолокации, ФИО клиента, имя устройства и информация о запланированных операциях (например, включение света в определенное время).
Но самым скверным в данном случае является то, что компания в принципе сохраняет в логах пароли и коды для их сброса. Пароли при этом хэшируются с использованием MD5 без соли, то есть их достаточно легко взломать. Аналитики подчеркивают, что даже если атакующий не справился с взломом пароля, он все равно может отслеживать новые записи в логах и дождаться появления кода для сброса пароля или адреса электронной почты. Эту информацию хакер тоже может использовать для взлома учетной записи Orvibo, отрезав настоящего владельца аккаунта от его учетной записи.
Хуже того, из-за уязвимой БД злоумышленники могут следить за пользователями, их запланированных задачами, трансляциями с камер видеонаблюдения. К примеру, преступники могут совершить ограбление, когда владельцев Orvibo нет дома, или могут саботировать работу домашних систем, резко увеличивая потребление энергии, меняя параметры работы умных розеток, систем отопления, вентиляции и кондиционирования воздуха или термостатов.
Почти все записи в логах сделаны на китайском языке, но исследователи vpnMentor пишут, что они также обнаружили записи для пользователей в Японии, Таиланде, США, Великобритании, Мексике, Франции, Австралии и Бразилии.
К сожалению, за прошедшие недели специалистам не удалось связаться с представителями Orvibo и уведомить компанию о проблеме. В настоящее время проблемная БД по-прежнему доступна любому желающему.