Ogromnih 2,7 milijardi zapisa koji sadrže osjetljive korisničke podatke, uključujući nazive Wi-Fi mreže, lozinke, IP adrese i identifikatore uređaja, otkriveno je u velikom proboju sigurnosti IoT-a povezanom s Mars Hydro, kineskim proizvođačem svjetla za uzgoj i LG-LED SOLUTIONS LIMITED, firmom registriranom u Kaliforniji.
Nezaštićena baza podataka, koju je otkrio istraživač sajber sigurnosti Jeremiah Fowler i prijavio vpnMentoru, naglašava kritične ranjivosti u sigurnosti IoT uređaja i praksi skladištenja u cloud-u.
Izložena baza podataka, ukupne veličine 1,17 terabajta, bila je javno dostupna bez zaštite lozinkom ili enkripcije. Sadržavao je zapisnike, zapise o praćenju i izvještaje o greškama sa IoT uređaja koji se prodaju širom svijeta, uključujući:
- Wi-Fi SSID i lozinke u običnom tekstu.
- IP adrese , ID-ovi uređaja, MAC adrese i detalji o operativnom sistemu (iOS/Android).
- API tokeni, verzije aplikacije i evidencije grešaka označene kao “Mars-pro-iot-error” ili “SF-iot-error”.
Mars Pro aplikacija kompanije Mars Hydro, koja se koristi za kontrolu IoT rasvjete i klimatskih sistema, navodno je prikupila ove podatke uprkos svojoj politici privatnosti koja tvrdi da nema prikupljanja korisničkih podataka.
Dalja istraga povezala je dokumentaciju sa LG-LED SOLUTIONS LIMITED, kompanijom registrovanom u Kaliforniji. Izloženi podaci su takođe uključivali API detalje i URL veze do kompanija LG-LED SOLUTIONS, Mars Hydro i Spider Farmer koje proizvode i prodaju svjetla za poljoprivredne uzgoje, ventilatore i sisteme za hlađenje.
Mnogi zapisi su označeni kao “Mars-pro-iot-error” ili “SF-iot-error”, sadržavajući tokene, verzije aplikacija, tipove uređaja i IP adrese uz SSID kredencijale.
Fowler je odmah obavijestio LG-LED SOLUTIONS i Mars Hydro, a za nekoliko sati pristup bazi podataka je bio ograničen. Mars Hydro je potvrdio da je aplikacija “Mars Pro”, dostupna na iOS-u i Androidu na više jezika, njihov službeni proizvod.
Međutim, ostaje nejasno da li je LG-LED SOLUTIONS direktno upravljao bazom podataka ili je koristio izvođača treće strane. Nepoznato je i trajanje izloženosti bazi podataka i da li su joj neovlaštene strane pristupile.
Sigurnosni rizici i implikacije
Podaci koji su procurili predstavljaju ozbiljne rizike:
- Infiltracija mreže : Napadači mogu koristiti otkrivene Wi-Fi kredencijale za pristup kućnim ili poslovnim mrežama, omogućavajući napade čovjeka u sredini, presretanje podataka ili postavljanje ransomware-a.
- Regrutacija botnet-a : Narušeni IoT uređaji mogli bi biti oteti za DDoS napade, kao što se vidi u nedavnim incidentima koji uključuju hakersku grupu Matrix.
- Fizičke prijetnje : Maliciozni hakeri mogu manipulisati povezanim svjetlima za uzgoj, ventilatorima ili sistemima za hlađenje, potencijalno uništavajući usjeve.
Fowler je istakao „ napad najbližeg komšije “, taktiku koju su ruski GRU hakeri koristili 2024. da provale organizaciju fokusiranu na Ukrajinu putem obližnjih Wi-Fi mreža , kao vjerojatan scenario rizika.
Izvještaj o prijetnjama kompanije Palo Alto Networks dodaje kontekst: 98% podataka o IoT uređajima je nešifrovano, a 57% uređaja je vrlo ranjivo.
Ovaj incident odražava sistemske IoT sigurnosne propuste:
- Slabo šifriranje : Mnogi uređaji se oslanjaju na zastarjele protokole poput WPA2, osjetljive na napade grubom silom.
- Podrazumevane lozinke : Korisnici često ne uspevaju da promene fabrička podešavanja, ostavljajući uređaje izloženim.
- Rizici centralizovanog oblaka : Čuvanje ogromnih podataka na neobijezbeđenim serverima stvara pojedinačne tačke kvara.
Posebno, istraživači nagađaju da bi ovo kršenje moglo uključivati istu bazu podataka koju je 2019. razotkrio Orvibo, kineski brend pametnih uređaja.
Stručnjaci pozivaju IoT proizvođače i korisnike da:
- Šifrirajte osjetljive dnevnike i zamijenite kredencijale u obliku običnog teksta tokeniziranim vrijednostima.
- Segmentirajte mreže kako biste izolirali IoT uređaje od kritičnih sistema.
- Sprovedite redovne revizije i penetracijsko testiranje.
Mars Hydro i LG-LED SOLUTIONS nisu komentarisali porijeklo kršenja ili potencijalno učešće trećih strana. Fowler je naglasio da njegovi nalazi imaju za cilj “podići svijest”, bez dokaza o direktnoj zloupotrebi.
Izvor: CyberSecurityNews