Μαζική παραβίαση δεδομένων IoT εκθέτει 2,7 δισεκατομμύρια αρχεία, συμπεριλαμβανομένων κωδικών πρόσβασης Wi-Fi

[nnn]

2,7 δισεκατομμύρια εγγραφές που περιέχουν ευαίσθητα δεδομένα χρηστών, συμπεριλαμβανομένων ονομάτων δικτύων Wi-Fi, κωδικών πρόσβασης, διευθύνσεων IP και αναγνωριστικών συσκευών, εκτέθηκαν σε μια μαζική παραβίαση της ασφάλειας του IoT που συνδέεται με την Mars Hydro, έναν κατασκευαστή φωτιστικών με έδρα την Κίνα, και την LG-LED SOLUTIONS LIMITED, μια εταιρεία με έδρα την Καλιφόρνια.

Η απροστάτευτη βάση δεδομένων, που ανακαλύφθηκε από τον ερευνητή κυβερνοασφάλειας Jeremiah Fowler και αναφέρθηκε στο vpnMentor, υπογραμμίζει κρίσιμα τρωτά σημεία στην ασφάλεια των συσκευών IoT και στις πρακτικές αποθήκευσης στο cloud.

Η εκτεθειμένη βάση δεδομένων, συνολικού μεγέθους 1,17 terabytes, ήταν δημόσια προσβάσιμη χωρίς προστασία με κωδικό πρόσβασης ή κρυπτογράφηση. Περιελάμβανε αρχεία καταγραφής, αρχεία παρακολούθησης και αναφορές σφαλμάτων από συσκευές IoT που πωλούνται παγκοσμίως, μεταξύ άλλων:

Wi-Fi SSIDs (ονόματα δικτύων) και κωδικούς πρόσβασης σε απλό κείμενο.
Διευθύνσεις IP, αναγνωριστικά συσκευής, διευθύνσεις MAC και λεπτομέρειες λειτουργικού συστήματος (iOS/Android).
Tokens API, εκδόσεις εφαρμογών και αρχεία καταγραφής σφαλμάτων με την ένδειξη «Mars-pro-iot-error» ή «SF-iot-error».

Η εφαρμογή Mars Pro της Mars Hydro, η οποία χρησιμοποιείται για τον έλεγχο των φωτιστικών και των κλιματικών συστημάτων ανάπτυξης IoT, φέρεται να συνέλεξε αυτά τα δεδομένα παρά την πολιτική απορρήτου της, η οποία ισχυρίζεται ότι δεν συλλέγει δεδομένα χρηστών.

Περαιτέρω έρευνα συνέδεσε τα αρχεία με την LG-LED SOLUTIONS LIMITED, μια εταιρεία με έδρα την Καλιφόρνια. Τα εκτεθειμένα δεδομένα περιλάμβαναν επίσης λεπτομέρειες API και συνδέσμους URL προς τις εταιρείες LG-LED SOLUTIONS, Mars Hydro και Spider Farmer που κατασκευάζουν και πωλούν γεωργικά φώτα καλλιέργειας, ανεμιστήρες και συστήματα ψύξης.

Πολλές εγγραφές είχαν την ένδειξη «Mars-pro-iot-error» ή «SF-iot-error» και περιείχαν tokens, εκδόσεις εφαρμογών, τύπους συσκευών και διευθύνσεις IP μαζί με διαπιστευτήρια SSID.

Αναλυτικά : Cybersecurity News

[Saxtus]

Γι' αυτό μόνο Zigbee (ή Matter over Thread όταν ωριμάσει αρκετά).

[ThReSh]

Γι' αυτό μόνο Zigbee (ή Matter over Thread όταν ωριμάσει αρκετά).

Γι' αυτό VLANs, ξεχωριστό SSID στις IoT και με firewall θα κόβεις την πρόσβαση στο υπόλοιπο τοπικό δίκτυο.

[DVader]

Γι' αυτό VLANs, ξεχωριστό SSID στις IoT και με firewall θα κόβεις την πρόσβαση στο υπόλοιπο τοπικό δίκτυο.

Δεν θα διαφωνήσω αλλά το Zigbee προσφέρει καλύτερη λειτουργικότητα !

[ThReSh]

Δεν θα διαφωνήσω αλλά το Zigbee προσφέρει καλύτερη λειτουργικότητα !

Σίγουρα, αλλά κι αυτό (δλδ την IP του hub) θα την βάλεις σε διαφορετικο VLAN, ακόμα κι αν είναι ενσύρματο.

[macro]

Το θεμα ειναι να μη μπει στο ασυρματο παιδες. Αν μπει δε σε σωζει ουτε zigbee, ουτε vlans, ουτε τιποτα.

Η ερωτηση ειναι πως δε θα μπει.

Απλα εχεις δυσκολο κωδικο και παρακαλας να μη διαρευσουν στο ιντερνετ τα στοιχεια σου. Δε μπορεις και πολλα πραγματα.

[netblues]

Αυτο που σε σωζει ειναι οτι για να μπει ασυρματα πρεπει να ειναι κοντα, στα 20 -30 μετρα. Το να ξερω τα credentials ενος ap στην Αργεντινη, δεν ειναι και πολυ χρησιμο.
Φυσικα αν εχω μια database με μερικα εκατομμυρια credentials, τοτε απλα μπορω να στοχευσω κατι κοντα.
Γιαυτο και πρεπει να τα αλλαζουμε σχετικα συχνα (που ομως δεν το κανει κανεις)

[ipo]

...
Η εκτεθειμένη βάση δεδομένων, συνολικού μεγέθους 1,17 terabytes, ήταν δημόσια προσβάσιμη χωρίς προστασία με κωδικό πρόσβασης ή κρυπτογράφηση. Περιελάμβανε αρχεία καταγραφής, αρχεία παρακολούθησης και αναφορές σφαλμάτων από συσκευές IoT που πωλούνται παγκοσμίως, μεταξύ άλλων:

Wi-Fi SSIDs (ονόματα δικτύων) και κωδικούς πρόσβασης σε απλό κείμενο.
...

[ThReSh]

Το θεμα ειναι να μη μπει στο ασυρματο παιδες. Αν μπει δε σε σωζει ουτε zigbee, ουτε vlans, ουτε τιποτα.

Η ερωτηση ειναι πως δε θα μπει.

Απλα εχεις δυσκολο κωδικο και παρακαλας να μη διαρευσουν στο ιντερνετ τα στοιχεια σου. Δε μπορεις και πολλα πραγματα.

Αν διαρεύσει το pass του IoT SSID δεν είναι τόσο πρόβλημα όσο το main SSID.

[macro]

Αν διαρεύσει το pass του IoT SSID δεν είναι τόσο πρόβλημα όσο το main SSID.

Μα για main network μιλαω και εγω.

[ThReSh]

Μα για main network μιλαω και εγω.

Ναι αλλά η διαρροή ήταν λόγω των IoT, αν αυτά είναι σε ξεχωριστό SSID με δικό τους VLAN και τους έχεις μπλοκάρει με firewall την τοπική πρόσβαση στο main VLAN, πως θα διαρρεύσουν τα credentials του main SSID το οποίο δεν έχει IoT πάνω του?

[ipo]

Ναι αλλά η διαρροή ήταν λόγω των IoT, αν αυτά είναι σε ξεχωριστό SSID με δικό τους VLAN και τους έχεις μπλοκάρει με firewall την τοπική πρόσβαση στο main VLAN, πως θα διαρρεύσουν τα credentials του main SSID το οποίο δεν έχει IoT πάνω του?

Βασικός ο περιορισμός του firewall μεταξύ των VLAN. Διότι το VLAN από μόνο του δεν κάνει πολλά.

[Chingachgook]

Πώς βρέθηκαν αυτές οι εταιρείες με τόσα δεδομένα;

[BlueChris]

Δεν θα διαφωνήσω αλλά το Zigbee προσφέρει καλύτερη λειτουργικότητα !

Γι' αυτό μόνο Zigbee (ή Matter over Thread όταν ωριμάσει αρκετά).

Να συμπληρώσω και το Zwave που είναι ακόμα ποιο ασφαλές από το zigbee.

Όλο το θέμα είναι να μην μιλάνε οι συσκευές με τη μαμά εταιρεία οπουδήποτε. Για αυτό το λόγο στήνουμε δικά μας συστήματα που συνδέονται στις συσκευές αυτές και δεν τις αφήνουμε αν βγουν παρα έξω.

Το μεγάλο γέλιο δεν είναι για μένα το ΙοΤ κομμάτι αλλά οι κάμερες. Πάει η κουτσή Μαρία και αγοράζει κάμερες των 30-40€ και στηρίζετε στον Κινέζο για να βλέπει ... αυτό πάει πολύ καλά γενικά

[acct]

Το μεγάλο γέλιο δεν είναι για μένα το ΙοΤ κομμάτι αλλά οι κάμερες. Πάει η κουτσή Μαρία και αγοράζει κάμερες των 30-40€ και στηρίζετε στον Κινέζο για να βλέπει ... αυτό πάει πολύ καλά γενικά

Κι από την άλλη πάει η αρτιμελής Μαρία και τα σκάει στη Ubiquiti και οι κάμερές του εμφανίζονται σε όποιον λάχει.

Γενικά καλό είναι να βγαίνει προς τα έξω όσο γίνεται λιγότερη πληροφορία, αλλά κάπου πρέπει να ισορροπήσεις την ασφάλεια και την ιδιωτικότητα με την ευκολία.