近日，一場規(guī)模巨大的物聯(lián)網(wǎng)（IoT）安全漏洞事件曝光了27億條包含敏感用戶數(shù)據(jù)的信息，其中包括Wi-Fi網(wǎng)絡(luò)名稱、密碼、IP地址和設(shè)備標(biāo)識符。此次事件與中國植物生長燈制造商Mars Hydro以及加州注冊公司LG-LED SOLUTIONS LIMITED有關(guān)。

網(wǎng)絡(luò)安全研究人員Jeremiah Fowler發(fā)現(xiàn)了這個未受保護(hù)的數(shù)據(jù)庫，并向vpnMentor進(jìn)行了報告。這一事件凸顯了物聯(lián)網(wǎng)設(shè)備安全和云存儲實(shí)踐中的嚴(yán)重漏洞。

這個公開可訪問的數(shù)據(jù)庫總計(jì)1.17TB，沒有任何密碼保護(hù)或加密措施。它包含了全球售出的物聯(lián)網(wǎng)設(shè)備的日志、監(jiān)控記錄和錯誤報告，具體內(nèi)容包括：

泄露的詳細(xì)信息（來源：VPNMentor）

• Wi-Fi SSID（網(wǎng)絡(luò)名稱）和明文密碼。
• IP地址、設(shè)備ID、MAC地址和操作系統(tǒng)詳細(xì)信息（iOS/Android）。
• API令牌、應(yīng)用程序版本以及標(biāo)有“Mars-pro-iot-error”或“SF-iot-error”的錯誤日志。

Wi-Fi密碼（來源：VPNMentor）

事件背景與調(diào)查

Mars Hydro的Mars Pro應(yīng)用程序用于控制物聯(lián)網(wǎng)生長燈和氣候系統(tǒng)，盡管其隱私政策聲稱不收集用戶數(shù)據(jù)，但據(jù)報道，該應(yīng)用程序仍然收集了這些數(shù)據(jù)。

進(jìn)一步的調(diào)查發(fā)現(xiàn)，這些記錄與加州注冊公司LG-LED SOLUTIONS LIMITED有關(guān)。泄露的數(shù)據(jù)還包括API詳細(xì)信息以及LG-LED SOLUTIONS、Mars Hydro和Spider Farmer公司的URL鏈接，這些公司生產(chǎn)和銷售農(nóng)業(yè)生長燈、風(fēng)扇和冷卻系統(tǒng)。

許多記錄標(biāo)有“Mars-pro-iot-error”或“SF-iot-error”，其中包含令牌、應(yīng)用版本、設(shè)備類型和IP地址以及SSID憑證。

Fowler迅速通知了LG-LED SOLUTIONS和Mars Hydro，幾小時后，數(shù)據(jù)庫的訪問權(quán)限被限制。Mars Hydro確認(rèn)，“Mars Pro”應(yīng)用程序是他們的官方產(chǎn)品，該應(yīng)用在iOS和Android平臺上支持多種語言。

然而，目前尚不清楚LG-LED SOLUTIONS是否直接管理該數(shù)據(jù)庫，或者是否使用了第三方承包商。數(shù)據(jù)庫曝光的時間長度以及是否有未經(jīng)授權(quán)的方訪問過它也不得而知。

安全風(fēng)險與影響

泄露的數(shù)據(jù)帶來了嚴(yán)重的風(fēng)險：

• 網(wǎng)絡(luò)滲透：攻擊者可以利用暴露的Wi-Fi憑證訪問家庭或企業(yè)網(wǎng)絡(luò)，從而實(shí)施中間人攻擊、數(shù)據(jù)攔截或勒索軟件部署。
• 僵尸網(wǎng)絡(luò)招募：受感染的物聯(lián)網(wǎng)設(shè)備可能被劫持用于DDoS攻擊，正如最近涉及Matrix黑客組織的事件所示。
• 物理威脅：惡意行為者可能操縱連接的生長燈、風(fēng)扇或冷卻系統(tǒng)，從而可能破壞農(nóng)作物。

Fowler特別強(qiáng)調(diào)了“最近鄰攻擊”這種戰(zhàn)術(shù)的可能性，這是俄羅斯GRU黑客在2024年通過附近Wi-Fi網(wǎng)絡(luò)入侵一家烏克蘭組織的策略。

Palo Alto Networks的威脅報告為此提供了背景：98%的物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)未加密，57%的設(shè)備高度脆弱。

此次事件反映了物聯(lián)網(wǎng)安全中的系統(tǒng)性缺陷：

• 弱加密：許多設(shè)備依賴如WPA2等過時的協(xié)議，這些協(xié)議容易受到暴力破解攻擊。
• 默認(rèn)密碼：用戶往往未能更改出廠設(shè)置，導(dǎo)致設(shè)備暴露在風(fēng)險中。
• 集中化云存儲風(fēng)險：在未受保護(hù)的服務(wù)器上存儲大量數(shù)據(jù)，創(chuàng)造了單點(diǎn)故障。

值得注意的是，研究人員猜測此次泄露可能涉及2019年由中國智能設(shè)備品牌Orvibo暴露的同一數(shù)據(jù)庫。

專家們敦促物聯(lián)網(wǎng)制造商和用戶采取以下措施：

• 加密敏感日志，并用令牌化值替換明文憑證。
• 分割網(wǎng)絡(luò)，將物聯(lián)網(wǎng)設(shè)備與關(guān)鍵系統(tǒng)隔離。
• 進(jìn)行定期審計(jì)和滲透測試。

Mars Hydro和LG-LED SOLUTIONS尚未就此次泄露事件的起源或可能的第三方參與發(fā)表評論。Fowler強(qiáng)調(diào)，他的發(fā)現(xiàn)旨在“提高人們的意識”，目前沒有證據(jù)表明存在直接濫用行為。