手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

相关漏洞现已修补:Orvibo智能家居设备泄露用户信息

来源:本站整理 作者:佚名 时间:2019-07-03 TAG: 我要投稿

从Orvibo方面了解到,此次涉及到信息泄露的安全漏洞现已修复,并提高了对用户信息的保护等级,同时他们也希望和专业信息安全研究团队打成合作,一同保护物联网安全。
同?#20445;瑅pnMentor的安全研究团队在博客中也进行了更新,已确认问题已修复。
下图为Orvibo方面的公告(英?#27169;?br/>
概述
近日,vpnMentor的研究团队发现Orvibo的用户数据库发生了数据泄露。由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。只要数据库保持打开状态,每天可用的数据量就会?#27426;?#22686;加。Orvibo声称他们拥有大?#23478;?#30334;万名用户,其中包括使用Orvibo智能家居设备的家庭、?#39057;?#21644;商业环境。该数据库的泄露,构成了对用户隐私和安全的巨大威胁,具有深远的影响。数据泄露事件将影响来自世界各地的用户,我们在日志中看到了来自?#27844;?#26085;本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西的用户。我们预计,在超过20亿的日志中,还有更多的用户。我们首先在6月16日通过电子邮件的方式尝试与Orvibo取得联系,后续的几天中没有收到回复,与此同?#20445;?#25105;们还在Twitter上发布推?#27169;?#25552;醒他们注意数据泄露的行为。?#27426;?#35813;企?#31561;?#28982;没有任?#20301;?#24212;,同时也没有关闭数据泄露源。
泄密数据库中的具体内容
Orvibo服务器提供的数据量非常巨大,并且内容也非常具体,直接体现了该智能家居设备收集到的其用户的数据。根据该公司的宣传,有超过100万用户在家庭和企业中安装了Orvibo产品。这家总部位于深圳的公司生产100种不同型号的智能家居或智能?#36828;?#21270;产品。在此次数据泄露中,包括如下数据:
1、电子邮件地址
2、密码
3、帐户重置代码
4、精确的地理定位
5、IP地址
6、用户名
7、用户ID
8、家庭名称
9、家庭ID
10、智能设备信息
11、访问帐户的设备类型
12、日程信息

在第一个示例中,我们可以看到Orvibo正在收集有关其用户的大量数据。在具体场景中,并非是所有数据点都被记录下来。但是,我们还在其他场景中发现了具体的地理数据、家庭名称、用户名、密码以及允许帐户接管的重置代码。


这些数据日?#23621;?#20110;同一个帐户,我们可以使用匹配的电子邮件地址和用户ID来进行验证。在最一开始,我?#20405;?#25317;有电子邮件地址、IP地址和重置代码。通过在数据中访问此代码,攻击者就可以轻松禁止用户登录其拥有的帐户,在无需登录其电子邮箱的情况下就可以重置密码。该代码适用于希望重置其电子邮件地址或密码的用户,这意味着一个恶意攻击者可以通过首先更改密码,然后再更改电子邮件地址的方式,?#20174;?#20037;锁定用户的帐户。Orvibo确实在密码安全性方面做出了一些努力,比如他们使用了MD5对密码进?#27844;?#24076;处理。


上面的示例中仅体现了我们所拥有的地理位置数据中一小部分样本。Orvibo会记录精确的经纬度坐标(即数据中的latotide)。坐标的精度可以将我们引导到用户的确切地址,这也表明其产品自身将会对用户位置进行跟踪,而不是根据IP地址来确定位置。

在某位墨西哥用户的数据中,会准确?#20801;境?#29992;户在记录数据时连接到了哪个设备。根据Orvibo官方网站上面的描述,HomeMate是一个完整的智能家居系统,它使用全系列产品连接用户的整个家庭。其数据的数量也表明攻击者利用此漏洞时用户的?#36164;?#25915;击程?#21462;?br/>
智能镜子是Orvibo的产品之一,该镜子能够显示天气和时间计划。我们发现了一个日志,记录用户使用自定义名称创建的时间计划。“Winter week AM”?#24471;?#20102;有关用户日历的准确信息。

这里展现的是一个数据日志,其中包含与单个帐户相关联的大量设备。我们可以清晰地看出,该用户拥有一台Orvibo智能相机。此外,还有一个设备被命名为“massage room”(按摩室)。尽管并非所有设备名称都能告诉我们设备的位置,但如果攻击者希望,设备名称可能会帮助非法人员查明设备的具体位置,以方便攻击者后续发动攻击。并且,“massage room”这个名称也可能表明这些数据是来?#20174;?#26576;个企业。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        巨额现金乘数免费试玩 虚拟货币注册充值流程 嘿金鱼讲的什么 ac米兰vs桑普多利亚胜负预测 莱万特vs揽胜运动 哈维阿尔萨德主场 足彩进球彩规则 四川麻将熊猫 英雄联盟宣传片全集 梦幻诛仙跑商视频