Descargar Informe: Orvibo Smart Home Devices pierde miles de millones de registros de usuarios APK Android

El equipo de investigación de vpnMentor encontró una filtración en la base de datos de usuarios de Orvibo.

Nuestro experto equipo de investigaci√≥n de ciberseguridad, dirigido por Noam Rotem y Ran Locar, descubri√≥ una base de datos abierta vinculada a los productos Orvibo Smart Home. La base de datos incluye sobre 2 mil millones de registros que registran todo, desde nombres de usuario, direcciones de correo electr√≥nico y contrase√Īas, a ubicaciones precisas. Mientras la base de datos permanezca abierta, la cantidad de datos disponibles contin√ļa aumentando cada d√≠a.

Orvibo afirma tener alrededor de un millón de usuarios. Estos incluyen individuos privados que conectaron sus hogares, tanto como hoteles y otros negocios Con los dispositivos inteligentes para el hogar de Orvibo.

Esto constituye un violación masiva de la privacidad y seguridad Con implicaciones de gran alcance. La violación de datos afecta Usuarios de todo el mundo. Encontramos registros para usuarios en China, Japón, Tailandia, los Estados Unidos, el Reino Unido, México, Francia, Australia y Brasil. Esperamos que haya más usuarios representados en el 2 mil millones más registros.

Primero nos comunicamos con Orvibo por correo electr√≥nico el 16 de junio. Cuando no recibimos una respuesta despu√©s de varios d√≠as, tambi√©n enviamos un tweet a la compa√Ī√≠a para alertarlos sobre el incumplimiento. Todav√≠a no han respondido, ni se ha cerrado la brecha.

Actualizar: La base de datos de Orvibo ha sido cerrada a partir de julio 2.

Ejemplos de entradas en la base de datos

La cantidad de datos disponibles en los servidores de Orvibo es enorme. Es tambi√©n altamente especifico, que muestra la cantidad de datos que los dispositivos dom√©sticos inteligentes pueden recopilar sobre sus usuarios. Seg√ļn la empresa, hay m√°s de un mill√≥n de usuarios Quienes han instalado productos Orvibo en sus hogares y empresas.

La empresa china, con sede en Shenzen, fabrica 100 productos diferentes de casa inteligente o automatización inteligente.

Datos incluidos en el incumplimiento

  • Correos electr√≥nicos
  • Contrase√Īas
  • C√≥digos de reinicio de cuenta
  • Geolocalizaci√≥n precisa
  • direcci√≥n IP
  • Nombre de usuario
  • ID de usuario
  • Apellido
  • ID familiar
  • Dispositivo inteligente
  • Dispositivo que accedi√≥ a la cuenta.
  • Informaci√≥n de programaci√≥n

En este primer ejemplo, podemos ver que Orvibo est√° recopilando una gran cantidad de datos sobre sus usuarios. En este caso, no se registran todos los puntos de datos; Sin embargo, tenemos otros ejemplos que incluyen muy Datos geogr√°ficos espec√≠ficos, nombres de familia elegidos, nombres de usuario, contrase√Īas y c√≥digos de reinicio Eso permitir√≠a la toma de posesi√≥n de la cuenta.

Estos registros de datos corresponden a la misma cuenta, que podemos verificar con la direcci√≥n de correo electr√≥nico coincidente y n√ļmero de identificaci√≥n de usuario. En la primera, solo tenemos la Direcci√≥n de correo electr√≥nico, direcci√≥n IP y un c√≥digo de reinicio. Con este c√≥digo accesible en los datos, usted podr√≠a f√°cilmente bloquear a un usuario fuera de su cuenta, ya que no necesita acceso a su correo electr√≥nico para restablecer la contrase√Īa.

El c√≥digo est√° disponible para aquellos que desean restablecer su direcci√≥n de correo electr√≥nico o contrase√Īa. Esto significa que un mal actor podr√≠a bloquear permanentemente a un usuario de su cuenta cambiando primero la contrase√Īa y luego la direcci√≥n de correo electr√≥nico. Orvibo hace alg√ļn esfuerzo en ocultando las contrase√Īasque son hash usando md5 sin sal.

El ejemplo anterior es una peque√Īa muestra del tipo de datos de geolocalizaci√≥n que tenemos. Orvibo Mantiene registros de coordenadas precisas de longitud y latitud. (Latotide escrito en los datos). La precisi√≥n de las coordenadas nos puede llevar a la direcci√≥n exacta de un usuario. Esto tambi√©n demuestra que sus productos rastrean la ubicaci√≥n por derecho propio, en lugar de determinar la ubicaci√≥n seg√ļn una direcci√≥n IP.

En esta entrada de un usuario en M√©xico, se muestra exactamente a qu√© dispositivo se conect√≥ el usuario cuando se registraron los datos. Seg√ļn el sitio web de Orvibo, HomeMate es un sistema para el hogar inteligente y completo que emplea una gama completa de sus productos para conectar su hogar completo. Esta cantidad de datos muestra solo cu√°n vulnerable puede ser un usuario si un pirata inform√°tico se aprovecha de esta violaci√≥n.

Uno de los productos que ofrece Orvibo es un espejo inteligente. Esto incluye tecnología para mostrar el clima y mostrar un horario. Aquí, Tenemos un registro de la programación que el usuario ha establecido con un nombre personalizado.. "Winter week AM" nos da información clara y clara sobre el calendario del usuario.

Este es un registro de datos que incluye una Gran cantidad de dispositivos conectados a una sola cuenta.. Podemos ver un registro claro del usuario que tiene uno de La cámara inteligente de Orvibo. Otro dispositivo se denomina "sala de masajes". Aunque no todos los nombres de dispositivos nos dicen qué dispositivo es dónde, podría ayudar a alguien a localizar un dispositivo para piratearlo si quisiera hacerlo.

La etiqueta de la sala de masajes también apunta hacia estos datos que probablemente pertenecen a una empresa.

Otro El registro de la c√°mara inteligente incluy√≥ un mensaje que se grab√≥ palabra por palabra. Eso abre la posibilidad de que un usuario revele a√ļn m√°s informaci√≥n personal a trav√©s de su cuenta.

Es importante tener en cuenta que no todos los registros de datos incluyen todo tipo de información personal. Sin embargo, incluso con más de 2 mil millones de registros buscar a través de Había suficiente información para juntar varios hilos. y crear una imagen completa de la identidad de un usuario.

Encontramos varias inconsistencias dentro del software de Orvibo. La mayoría de los registros se crearon completamente en inglés, lo que incluye nombres de lugares, como ejemplo. Sin embargo, también encontramos que varios registros tenían países y ciudades registrados en chino, en lugar de en inglés. No parecía haber ninguna coherencia en cuanto al uso del chino en comparación con el inglés.

Impacto de la violación de datos

Un incumplimiento de este tama√Īo tiene implicaciones masivas.. Cada dispositivo en el cat√°logo de productos de Orvibo puede tener un efecto negativo diferente en sus usuarios. Esto es adem√°s de tener una gran cantidad de informaci√≥n de identificaci√≥n sobre los usuarios. Gran parte de los datos se pueden juntar para interrumpir el hogar de una persona mientras que posiblemente conduce a m√°s hacks.

Aunque Orvibo hace hash de sus contrase√Īas, nosotros mismos probamos la seguridad para ver cu√°n f√°cil fue descubrir la contrase√Īa real. En algunos casos, descubrimos nuestra propia contrase√Īa, pero en otros, no pudimos romper el hash. Para probar esto, creamos nuestra propia cuenta, luego buscamos nuestra direcci√≥n de correo electr√≥nico para ver qu√© informaci√≥n de la cuenta era accesible. A pesar de que nuestra contrase√Īa elegida estaba mal, era f√°cil de descifrar.

Si Orvibo hubiera agregado sal a sus contrase√Īas de hash, habr√≠a creado una cadena m√°s compleja Eso es mucho m√°s dif√≠cil de romper. Salt funciona agregando una cadena aleatoria a una contrase√Īa existente, que luego se revisa. Ya que la sal es desconocida, se vuelve muy dif√≠cil determinar qu√© parte de la contrase√Īa es genuina y qu√© parte fue la cadena agregada.

Esto destaca especialmente ¬ŅPor qu√© es tan importante elegir contrase√Īas seguras?, especialmente cuando est√°n conectados a dispositivos con niveles de seguridad inciertos.

Sin embargo, incluso con contrase√Īas seguras, la base de datos de Orvibo inclu√≠a una informaci√≥n peligrosa. Al examinar sus registros, encontramosc√≥digos de reinicio de cuenta en los registros de datos. Estos se enviar√≠an a un usuario para restablecer su contrase√Īa o su direcci√≥n de correo electr√≥nico. Con esa informaci√≥n f√°cilmente accesible, un hacker podr√≠a bloquear a un usuario de su cuenta sin necesidad de su contrase√Īa. Cambiar tanto una contrase√Īa como una direcci√≥n de correo electr√≥nico podr√≠a hacer que la acci√≥n sea irreversible.

Orvibo ofrece una amplia gama de soluciones para conectar su hogar. A√ļn no incluyen dispositivos inteligentes en sus alineaciones, pero todav√≠a hay Mucho da√Īo que se puede hacer. A trav√©s de los productos que tienen en el mercado.

Incluso un socket inteligente, por ejemplo, puede ser hackeado para Cambiar el nivel de consumo de energía de un usuario. sin su conocimiento. Otro escenario involucra corte de energía a través de enchufes inteligentes, lo que potencialmente podría hundir a un usuario en la oscuridad en un momento en que necesitaba una buena iluminación. Para mucha gente, esto podría ser una situación peligrosa. Si ocurriera en un lugar de negocios, por otro lado, tal evento probablemente también conducir a la pérdida de ingresos.

Muchas casas inteligentes usan enchufes conectados como estos para ahorrar energía en los electrodomésticos que no están usando. Si alguien cambiara la configuración de un socket sin el conocimiento del usuario, podría llevar a una situación en la que un aparato mayor, como un horno, se enciende y se calienta sin supervisión.

La situaci√≥n es similar para los interruptores de luz inteligentes. Si bien dejar las luces encendidas innecesariamente podr√≠a no ser un desastre, podr√≠a aumentar el consumo de energ√≠a de una manera sutil pero impactante. Debido a que el cambio no ser√≠a dr√°stico, tambi√©n podr√≠a hacerlo m√°s dif√≠cil de atrapar. Para un cambio m√°s dr√°stico, uno podr√≠a hacerse cargo del sistema HVAC, que consume mucha m√°s energ√≠a que las luces o las cortinas motorizadas. Incluso apagar y encender estos aparatos r√°pidamente puede da√Īar sus circuitos el√©ctricos y romper sus motores.

Sin embargo, Orvibo no solo se dirige a hogares individuales. Tambi√©n tienen distintos perfiles para oficinas y hoteles. Cambiar la configuraci√≥n de la electricidad en un edificio de oficinas o en un hotel tendr√° un efecto mucho m√°s significativo. Esto podr√≠a r√°pidamente comer en las ganancias de una empresa m√°s peque√Īa mientras que es dif√≠cil averiguar por qu√© sus costos son tan altos.

Sin embargo, hay Otros dispositivos cuya mala seguridad podría tener consecuencias más graves.. Varios de los dispositivos ofrecidos por Orvibo se encuentran bajo el paraguas de "seguridad del hogar". Incluyen cerraduras inteligentes, cámaras de seguridad para el hogar y kits completos para el hogar.. Con la información que se ha filtrado, está claro que no hay nada seguro sobre estos dispositivos. Incluso tener uno de estos dispositivos instalado podría socavar, en lugar de mejorar, su seguridad física.

Hay suficiente información filtrada de la base de datos que hace hacerse cargo de la cuenta de un usuario una tarea bastante simple. Un actor malicioso podría fácilmente Accede al video desde una de las cámaras inteligentes de Orvibo. ingresando en la cuenta de otro usuario con las credenciales encontradas en la base de datos. Al mismo tiempo, sería fácil desbloquear una puerta de la misma cuenta. Con una geolocalización precisa, esto simplifica los robos en el hogar, Un evento de casas inteligentes se supone que ayuda a proteger contra.

La información que los dispositivos de Orvibo están filtrando va incluso más allá de las cerraduras inteligentes y las cámaras de seguridad. Uno de sus otros dispositivos es un espejo inteligente, que incluye pantallas meteorológicas integradas, así como un calendario. Como vimos en los datos anteriores, algunos Los usuarios tenían información muy detallada sobre sus horarios grabados a través del espejo inteligente.. Si alguien quiere seguir a un usuario fuera de su hogar, podrían encontrar la información que necesitan para hacerlo combinando los datos de programación en la base de datos. Podemos ver el nombre de la programación, así como los registros de tiempo, que incluyen la semana, el día y la hora, hasta el segundo.

Otros dos dispositivos que fabrica Orvibo se encuentran bajo el paraguas de Home Entertainment. Un dispositivo es el controlador Magic Cube Wifi; otro es el controlador ZigBee. En su nivel más básico, un hacker podría Toma el control de estos dispositivos para arruinar la experiencia de TV o película de un usuario. Sin embargo, con un control sencillo del televisor, un pirata informático podría encenderlo y subir el volumen en un momento inoportuno. Cualquiera podría encontrarse en la línea para disturbios de ruido, incluso si no estuvieran al tanto del hack. El impacto cambia y crece, sin embargo, cuando la víctima es un negocio.

Los hackers podrían fácilmente desconectar toda la red con un conjunto totalmente conectado de estos artículos para el hogar inteligente. Esto daría lugar a una pérdida directa de ingresos junto con una pérdida de confianza del cliente. Cuando todo un edificio o vivienda se basa en tecnología conectada para la seguridad, Un apagón puede detener toda la operación.

Esto es un problema creciente cuando se trata de lo que se llama el Internet de las cosas. Esto se refiere a todos los dispositivos inteligentes que se comunican entre s√≠ a trav√©s de una conexi√≥n a Internet. Sin embargo, como una industria que todav√≠a es relativamente joven, hay muchos Problemas de seguridad que deben ser abordados por los fabricantes. mientras a√ļn puedan.

El Internet de las cosas no solo representa un riesgo para la seguridad. Si bien las cuentas virtuales de cualquier persona pueden verse amenazadas por una fuga de datos que vincula su correo electr√≥nico, contrase√Īas y ubicaci√≥n, tambi√©n socava su privacidad. Muchos usuarios pueden no estar tan preocupados por vigilancia gubernamental, pero para aquellos que lo son, las bases de datos como Orvibo pueden dibujar una imagen detallada de la vida de un usuario.

Consejos de los expertos

Existen varias medidas de seguridad que Orvibo podría haber tomado que hubiera ayudado a prevenir esta brecha. A continuación, puede encontrar algunos consejos esenciales que pueden ayudarlo a prevenir o parchar una base de datos vulnerable.

  1. Asegure sus servidores.
  2. Implementar reglas de acceso adecuadas.
  3. Nunca deje un sistema que no requiera autenticación abierta a Internet.

Para obtener una guía más detallada sobre cómo proteger su negocio, consulte cómo proteger su sitio web y la base de datos en línea de los piratas informáticos.

Cómo descubrimos la brecha

Descubrimos esta brecha como parte de nuestra Proyecto de mapeo web.Nuestro equipo de expertos en ciberseguridad examina los puertos en busca de bloques de IP conocidos. Usando estos bloques, Noam y Ran pueden buscar vulnerabilidades en un sistema web. Cuando el equipo descubre datos filtrados, utilizan su comprensión técnica para confirmar a quién pertenece la base de datos.

Después de encontrar una fuga, Nos ponemos en contacto con el propietario de la base de datos. Para alertarlos de las vulnerabilidades en el sistema. Cuando sea posible, también nos pondremos en contacto con las personas afectadas por la violación de datos. Nuestro objetivo con este proyecto es Promover una Internet segura y protegida para todos los usuarios.

Sobre nosotros y reportes anteriores

vpnMentor es el sitio web de revisión de VPN más grande del mundo. Nuestro laboratorio de investigación es un servicio gratuito que se esfuerza porAyuda a la comunidad online a defenderse.contra las amenazas cibernéticas mientras educa a las organizaciones sobre la protección de los datos de sus usuarios.

Recientemente descubrimos una violación de hugedata que afectó a 78 mil pacientes que tomaban Vascepa. También revelamos que xSocialMedia sufrió una violación generalizada de datos.También es posible que desee leer nuestro Informe de fugas de VPN y el Informe de estadísticas de privacidad.

Por favorcomparte este informe en Facebookotuitealo.