orvibo数据泄露将安全焦点放在IoT后端
发布时间:2022-02-16 11:54:14 所属栏目:要闻 来源:互联网
导读:虚拟专用网络(VPN)测试和审查服务VPnmentor的研究人员已发现属于中国公司Orvibo的公开访问数据库,该数据库为全球客户提供了管理智能家电,包括英国和美国。 呼叫SmartMate的平台数据库没有被发现没有密码保护,尽管包含超过20亿日的日志,但涉及大约200百
|
虚拟专用网络(VPN)测试和审查服务VPnmentor的研究人员已发现属于中国公司Orvibo的公开访问数据库,该数据库为全球客户提供了管理智能家电,包括英国和美国。 呼叫SmartMate的平台数据库没有被发现没有密码保护,尽管包含超过20亿日的日志,但涉及大约200百万客户的智能家居设备,强调了物联网(物联网)设备的大量数据通常收集。安全影响是巨大的,因为这些SmartMate日志记录详细信息包括用户名,只使用没有盐保护的MD5散列算法,账户重置代码甚至属于inpidual,酒店等企业的IoT设备的精确位置。 只要数据库仍然开放,可用的数据量仍然增加每天增加,使客户通过恶意演员的账户收购风险,VPnmentor警告博客文章。尽管自6月16日以来有几次联系Orvibo,但VPnmentor研究人员表示,他们没有收到任何响应,数据库继续暴露。 研究人员表示,违反这一规模具有大规模的影响,因为大部分数据都可以拼凑在一起,以扰乱一个人的家,而可能导致进一步的黑客。他们说,帐户重置代码可能是特别危险的,因为这些都会使黑客能够在不需要他们的密码的情况下将用户锁定用户,并且通过更改密码和电子邮件地址,黑客将使动作不可逆转。 VPnmentor研究人员建议管理IOTED设备的ORVIBO和其他公司应确保他们保护服务器,实现正确的访问规则,并不留下不需要对Internet打开身份验证的系统。Ben Herzberg威胁公司威尔维尔瓦威胁的威胁研究主任说,留下服务器Openand vdressableis的误诊,这是一种弥重的重建,添加了泄漏服务器的arporponseand修复的orvibo的焊料是unsresponsibleand非常危险。 “一旦服务器留下了开放,攻击者只需要攻击者即将意识到这种脆弱性并接管。在我们的研究中,我们看到特定的Toredis服务器,75%的开放式服务器被接管在加密的计划中。“当这些系统留下开放攻击者时,他们可以将数据用于他们的优势,接管资源,或者甚至进一步处理组织网络并渗透额外资源,”他说。 根据Herzberg的说法,密码只是散列的事实,但不是盐渍,增加了黑客可能会破解它们来揭示密码的可能性。然后,这些破解的密码可以用于凭据填充攻击,通过密码重复使用。 但是,密码在安全公司BitGlass仍然非常常见的多个账户仍然非常常见。“这意味着如果网络犯罪获得单个密码,那么他们可能会在受害者使用的多个服务中获得许多帐户的访问。 (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
