相比那些智能音箱被技術(shù)高超的黑客攻破，監(jiān)聽你在房間密談的這種事件，下面這種“事故”的波及面要廣多了。。。

據(jù)外媒報(bào)道，中國(guó)智能家居解決方案提供商 Orvibo 旗下的一個(gè)可公開訪問的 ElasticSearch 數(shù)據(jù)庫泄露了超過 20 億條用戶日志，其中包含來自世界各國(guó)客戶的敏感數(shù)據(jù)。

這些數(shù)據(jù)有多敏感呢？

不好意思哦，用戶名、電子郵件地址和密碼這種是泄露無疑了，更可怕的是，雷鋒網(wǎng)了解到，還有下面這些：

電子郵件地址

密碼

帳戶重置代碼

精確的用戶地理位置

 IP 地址

用戶名和用戶 ID 

家族姓名和家族 ID 

存取賬戶的設(shè)備名和設(shè)備

通過智能相機(jī)錄制的對(duì)話

行程信息

【泄露樣本】

這家公司的業(yè)務(wù)范圍還挺廣，據(jù)公開資料，這家公司通過提供“安全”和能源管理的智能系統(tǒng)，以及使用智能家居云平臺(tái)的遠(yuǎn)程控制和數(shù)據(jù)記錄 / 分析，Orvibo 為其客戶提供智能解決方案，幫助他們管理房屋、辦公室和酒店房間，對(duì)應(yīng)推出了三大場(chǎng)景應(yīng)用方案：智慧家庭，智慧辦公，智慧酒店，“并在全球范圍內(nèi)實(shí)現(xiàn)項(xiàng)目成功落地”。

這說明了一些事情：不僅是家庭信息，巧合之下，網(wǎng)絡(luò)那端的眼睛甚至可能知道這些被“泄露”的用戶在哪里辦公，出差住什么酒店，甚至“跨國(guó)”追蹤無障礙。

雷鋒網(wǎng)注意到，發(fā)現(xiàn)這個(gè)數(shù)據(jù)庫的“小秘密”的 vpnMentor 的研究團(tuán)隊(duì)在 6 月 16 日聯(lián)系了Orvibo 公司，但是到 7 月 2 日，這個(gè)數(shù)據(jù)庫仍然在線。研究人員還表示：“只要數(shù)據(jù)庫保持開放，可用數(shù)據(jù)量每天都在增加”，包括中國(guó)、日本、泰國(guó)、美國(guó)、英國(guó)、墨西哥、法國(guó)、澳大利亞和巴西在內(nèi)的用戶都受到了數(shù)據(jù)泄露的影響。

你以為只是泄露信息了嗎？

不，潛在風(fēng)險(xiǎn)還有很多。

該數(shù)據(jù)庫泄露的帳戶重置代碼可能允許潛在的攻擊者將 Orvibo 用戶鎖定在他們的帳戶之外，而無需在此過程中使用用戶的密碼。

通過更改密碼和電子郵件地址，該賬戶可能無法恢復(fù)，讓黑客"完全控制他們的智能家居設(shè)備"。怎么控制呢？比如，分分鐘看直播——對(duì)于在 Orvibo 智能家居管理賬戶中添加安全攝像頭的用戶，只要輸入用戶賬戶和數(shù)據(jù)庫中的憑證，就可以輕松訪問智能攝像頭提供的視頻信息。

找到用戶的精準(zhǔn)位置信息，破解他的智能門鎖也不是什么難事，畢竟控制權(quán)都有了嘛！

數(shù)據(jù)庫權(quán)限不好好設(shè)置就是這個(gè)下場(chǎng)，但實(shí)際付出代價(jià)的卻是“無辜的”用戶。就連 Elastic NV 都看不下去了，按照它在 5 月 20 日發(fā)出的公告所言，Elastic Stack 的核心安全功能已經(jīng)免費(fèi)。這意味著用戶現(xiàn)在能夠?qū)W(wǎng)絡(luò)流量進(jìn)行加密、創(chuàng)建和管理用戶、定義能夠保護(hù)索引和集群級(jí)別訪問權(quán)限的角色。

Elastic NV 還敦促管理員通過"加密通信、以角色為基礎(chǔ)的存取控制、 IP 過濾和審計(jì)"來保護(hù) ElasticSearch 棧，為他們的服務(wù)器內(nèi)置用戶配置密碼，并在部署之前正確配置數(shù)據(jù)庫。

雷鋒網(wǎng)發(fā)現(xiàn)，由于不好好配置數(shù)據(jù)庫，導(dǎo)致沒有密碼可以公開訪問，數(shù)據(jù)泄露的慘案實(shí)在太多了。

6 月初，超過 160 萬的芝加哥大學(xué)醫(yī)學(xué)院的潛在和現(xiàn)有捐獻(xiàn)者的個(gè)人信息被一個(gè)錯(cuò)誤配置和不受保護(hù)的 ElasticSearch 服務(wù)器暴露在互聯(lián)網(wǎng)上。

同在 6 月初，中國(guó)一家獵頭公司 FMC Consulting 旗下的 ElasticSearch 集群配置不當(dāng)，導(dǎo)致可以公開訪問，泄露了數(shù)百萬份簡(jiǎn)歷和公司記錄、客戶和員工的數(shù)據(jù)。

5 月，一個(gè)未受保護(hù)的 ElasticSearch 集群暴露了 3427396 份記錄，其中包含帶有"病人"標(biāo)簽的巴拿馬公民的敏感個(gè)人信息，以及 468086 份標(biāo)簽為"檢測(cè)病人"的記錄。

盡管保護(hù)敏感信息不受公共訪問是安全常識(shí)，但錯(cuò)誤配置的 ElasticSearch 服務(wù)器仍然是頻發(fā)的事情，講真，ElasticSearch 的開發(fā)者攤著小手，只差沒說：“求求你們自己也關(guān)注一下啊”。

本文刊發(fā)后，Orvibo 對(duì)雷鋒網(wǎng)表示，vpn Mentor曾于6月16日將報(bào)告發(fā)送給Orvibo ，但由于郵件系統(tǒng)過濾，其在 7月2日才獲悉報(bào)告內(nèi)容，他們采取了以下解決方案：

1.已解決安全漏洞。

2.密碼加密機(jī)制升級(jí)。

3.升級(jí)對(duì)用戶帳戶和密碼重置的保護(hù)。

4.加強(qiáng)與專業(yè)網(wǎng)絡(luò)安全公司的合作，提高系統(tǒng)安全性。

7 月 3日，vpnMentor已經(jīng)認(rèn)可該公司的修復(fù)結(jié)果。

參考來源：BleepingComputer。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。