抱歉，不好好設密碼真的可以為所欲為

相比那些智能音箱被技術高超的黑客攻破，監聽你在房間密談的這種事件，下面這種「事故」的波及面要廣多了。。。

據外媒報道，中國智能家居解決方案提供商 Orvibo 旗下的一個可公開訪問的 ElasticSearch 資料庫泄露了超過 20 億條用戶日誌，其中包含來自世界各國客戶的敏感數據。

這些數據有多敏感呢？

不好意思哦，用戶名、電子郵件地址和密碼這種是泄露無疑了，更可怕的是，雷鋒網了解到，還有下面這些：

電子郵件地址

密碼

帳戶重置代碼

精確的用戶地理位置

IP 地址

用戶名和用戶 ID

家族姓名和家族 ID

存取賬戶的設備名和設備

通過智能相機錄製的對話

行程信息

【泄露樣本】

這家公司的業務範圍還挺廣，據公開資料，這家公司通過提供「安全」和能源管理的智能系統，以及使用智能家居雲平台的遠程控制和數據記錄 / 分析，Orvibo 為其客戶提供智能解決方案，幫助他們管理房屋、辦公室和酒店房間，對應推出了三大場景應用方案：智慧家庭，智慧辦公，智慧酒店，「並在全球範圍內實現項目成功落地」。

這說明了一些事情：不僅是家庭信息，巧合之下，網路那端的眼睛甚至可能知道這些被「泄露」的用戶在哪裡辦公，出差住什麼酒店，甚至「跨國」追蹤無障礙。

雷鋒網注意到，發現這個資料庫的「小秘密」的 vpnMentor 的研究團隊在 6 月 16 日聯繫了Orvibo 公司，但是到 7 月 2 日，這個資料庫仍然在線。研究人員還表示：「只要資料庫保持開放，可用數據量每天都在增加」，包括中國、日本、泰國、美國、英國、墨西哥、法國、澳大利亞和巴西在內的用戶都受到了數據泄露的影響。

你以為只是泄露信息了嗎？

不，潛在風險還有很多。

該資料庫泄露的帳戶重置代碼可能允許潛在的攻擊者將 Orvibo 用戶鎖定在他們的帳戶之外，而無需在此過程中使用用戶的密碼。

通過更改密碼和電子郵件地址，該賬戶可能無法恢復，讓黑客"完全控制他們的智能家居設備"。怎麼控制呢？比如，分分鐘看直播——對於在 Orvibo 智能家居管理賬戶中添加安全攝像頭的用戶，只要輸入用戶賬戶和資料庫中的憑證，就可以輕鬆訪問智能攝像頭提供的視頻信息。

找到用戶的精準位置信息，破解他的智能門鎖也不是什麼難事，畢竟控制權都有了嘛！

資料庫許可權不好好設置就是這個下場，但實際付出代價的卻是「無辜的」用戶。就連 Elastic NV 都看不下去了，按照它在 5 月 20 日發出的公告所言，Elastic Stack 的核心安全功能已經免費。這意味著用戶現在能夠對網路流量進行加密、創建和管理用戶、定義能夠保護索引和集群級別訪問許可權的角色。

Elastic NV 還敦促管理員通過"加密通信、以角色為基礎的存取控制、 IP 過濾和審計"來保護 ElasticSearch 棧，為他們的伺服器內置用戶配置密碼，並在部署之前正確配置資料庫。

雷鋒網發現，由於不好好配置資料庫，導致沒有密碼可以公開訪問，數據泄露的慘案實在太多了。

6 月初，超過 160 萬的芝加哥大學醫學院的潛在和現有捐獻者的個人信息被一個錯誤配置和不受保護的 ElasticSearch 伺服器暴露在互聯網上。

同在 6 月初，中國一家獵頭公司 FMC Consulting 旗下的 ElasticSearch 集群配置不當，導致可以公開訪問，泄露了數百萬份簡歷和公司記錄、客戶和員工的數據。

5 月，一個未受保護的 ElasticSearch 集群暴露了 3427396 份記錄，其中包含帶有"病人"標籤的巴拿馬公民的敏感個人信息，以及 468086 份標籤為"檢測病人"的記錄。

儘管保護敏感信息不受公共訪問是安全常識，但錯誤配置的 ElasticSearch 伺服器仍然是頻發的事情，講真，ElasticSearch 的開發者攤著小手，只差沒說：「求求你們自己也關注一下啊」。

本文刊發後，Orvibo 對雷鋒網表示，vpn Mentor曾於6月16日將報告發送給Orvibo ，但由於郵件系統過濾，其在 7月2日才獲悉報告內容，他們採取了以下解決方案：

1.已解決安全漏洞。

2.密碼加密機制升級。

3.升級對用戶帳戶和密碼重置的保護。

4.加強與專業網路安全公司的合作，提高系統安全性。

7 月 3日，vpnMentor已經認可該公司的修復結果。

參考來源：BleepingComputer。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！