Jak donosi serwis hackread, w wyniku odkrycia przez jednego z badaczy cyberbezpieczeństwa, doszło do masowego wycieku danych związanych z chińską firmą Mars Hydro oraz Spider Farmer Led, specjalizujących się w oświetleniu do uprawy roślin. Wyciek objął ogromną bazę danych o łącznej wielkości 1,17 terabajta, zawierającą aż 2,7 miliarda rekordów. Wśród ujawnionych informacji znajdują się między innymi hasła Wi-Fi, adresy IP, identyfikatory urządzeń i dane użytkowników.
Ujawnienie Pofunych Danych
Baza danych zawierała informacje o urządzeniach IoT wykorzystywanych w rolnictwie, w tym nazwach sieci Wi-Fi (SSID), odpowiadających im hasłach, adresach IP, identyfikatorach urządzeń oraz adresach e-mail. Co więcej, dane były powiązane z aplikacjami kontrolującymi urządzenia IoT, takimi jak smartfony, ujawniając także informacje o systemach operacyjnych, w tym iOS i Android.
Badacz cyberbezpieczeństwa – Jeremiah Fowler – który odkrył lukę bezpieczeństwa, przeanalizował próbkę danych i natrafił na ponad 100 milionów rekordów, które były związane z urządzeniami sterującymi oświetleniem oraz innymi produktami IoT. Interesującym aspektem jest fakt, że dane te obejmowały także foldery oznaczone jako „rejestrowanie”, „monitorowanie” i „zapisy błędów”, co sugeruje, że chodziło o dokumentację operacyjną urządzeń IoT na całym świecie.
Powiązania z Inny Firmami
Dalsze śledztwo wykazało, że ujawniona baza danych była powiązana z firmą LG-LED SOLUTIONS LIMITED, zarejestrowaną w Kalifornii. Firma ta, podobnie jak Mars Hydro, zajmuje się produkcją oświetlenia LED oraz urządzeń chłodzących i wentylacyjnych dla rolnictwa. Zauważono również, że w danych pojawiły się rekordy oznaczone jako „Mars-pro-iot-error” oraz „SF-iot-error”, co może sugerować powiązanie z produktami tych dwóch firm.
W bazie danych znalazły się także dzienniki błędów, które zawierały poufne informacje, takie jak wersje aplikacji, typy urządzeń, tokeny i adresy IP. To tylko potwierdza, jak poważnym naruszeniem bezpieczeństwa było to wydarzenie.
Reakcja na Wyciek
Po odkryciu wycieku Fowler niezwłocznie powiadomił zarówno LG-LED SOLUTIONS, jak i Mars Hydro. Dzięki temu firma była w stanie zabezpieczyć bazę danych w ciągu kilku godzin. Mars Hydro, producent oświetlenia LED z siedzibą w Shenzhen, potwierdził, że aplikacja Mars Pro, związana z ujawnionymi danymi, jest ich oficjalnym produktem.
Jednak wciąż pozostają pytania dotyczące zarządzania bazą danych, jej własności oraz czasu, przez który dane były narażone na nieautoryzowany dostęp. Fowler wskazał na konieczność przeprowadzenia dokładnego audytu kryminalistycznego, aby określić skalę tego naruszenia.
Ryzyko dla Bezpieczeństwa
Tego typu wycieki danych mogą prowadzić do poważnych zagrożeń. Ujawnienie informacji takich jak hasła Wi-Fi, adresy IP czy identyfikatory urządzeń zwiększa ryzyko ataków typu man-in-the-middle, inwigilacji czy manipulacji danymi. Wzrost liczby urządzeń IoT na rynku, a także ich niewystarczające zabezpieczenie, sprawia, że są one coraz częściej wykorzystywane w atakach DDoS (Distributed Denial of Service) przez zorganizowane grupy hakerskie, takie jak Matrix, która regularnie atakuje niechronione urządzenia IoT.
Dodatkowo badania pokazują, że aż 57% urządzeń IoT jest podatnych na ataki, a aż 98% danych przesyłanych przez te urządzenia nie jest szyfrowanych. To ogromne ryzyko dla prywatności i bezpieczeństwa użytkowników.
Wnioski i Rekomendacje
To zdarzenie stanowi ważną lekcję dla producentów urządzeń IoT oraz twórców aplikacji. Zabezpieczenie danych użytkowników powinno być priorytetem, a w tym celu konieczne jest stosowanie szyfrowania, unikanie przechowywania danych w zwykłym tekście oraz regularne przeprowadzanie audytów bezpieczeństwa. Firmy powinny również zadbać o odpowiednią ochronę wewnętrznych baz danych oraz stosowanie testów penetracyjnych, które pomogą w identyfikowaniu ewentualnych luk w zabezpieczeniach.
W dobie rosnącej liczby urządzeń IoT, kwestie ochrony danych stają się kluczowe. Firmy muszą podejść do tych wyzwań w sposób odpowiedzialny, aby uniknąć kolejnych nieautoryzowanych wycieków danych, które mogą mieć poważne konsekwencje zarówno dla użytkowników, jak i dla samych przedsiębiorstw.
