2025年2月13日Gbhackers消息,网络安全研究员Jeremiah Fowler发现了一个未受保护的数据库,暴露了超过27亿条敏感记录,包括Wi-Fi网络名称(SSID)、口令、IP地址、设备ID及用户详细信息。该数据库与某物联网设备制造商MXXX及其加州关联公司XXX有关,总大小为1.17 TB。令人担忧的是,这些数据以纯文本形式存储,未加密,极易被未经授权的访问者利用。泄露的数据还包括API信息、设备操作系统详情及与MXXX产品相关的错误日志。尽管MXXX声称其官方应用程序不收集用户数据,但日志显示连接的物联网设备可能捕获了这些信息。此次泄露增加了未经授权的网络访问和高级网络攻击的风险,例如通过暴露的Wi-Fi凭证进行“最近邻居攻击”,渗透附近网络并实施恶意活动。事件曝光后,MXXX迅速限制了数据库的公开访问,但数据库暴露的时长及是否有其他方访问过数据仍不明确。此次事件凸显了物联网设备普遍存在的安全漏洞,专家呼吁制造商加强数据加密、定期安全审计及实施强身份验证机制,以应对日益严峻的网络安全威胁。
2025年2月12日,vpnMentor官网的文章称,网络安全研究员Jeremiah Fowler发现了一个未受保护的数据库,其中包含近27亿条敏感记录,涉及Wi-Fi网络名称(SSID)、口令、IP地址、设备ID及用户详细信息。该数据库与国内物联网设备制造商MXXXX及其加州关联公司LXXXXLIMITED有关,总大小达1.17 TB。令人震惊的是,这些数据以纯文本形式存储,未加密,极易被未经授权的访问者利用。Fowler迅速将这一发现报告给了vpnMentor,并通知了相关公司。几小时后,数据库被禁止公开访问。
泄露数据规模与内容
此次泄露的数据库包含2,734,819,501条记录,涵盖了全球销售的物联网(IoT)设备的日志记录、监控数据和错误日志。Fowler在对数据库的初步分析中发现,13个文件夹中包含超过1亿条记录,其中包含Wi-Fi网络名称(SSID)及口令、IP地址、设备ID等敏感信息。这些数据似乎来自连接到MXXXX物联网设备的用户,包括运行iOS和Android操作系统的智能手机。
此外,数据库中还包含API详细信息、设备操作系统信息(如iOS、Android)以及与MXXXX产品相关的错误日志。尽管MXXXX在其官方声明中声称其应用程序不收集用户数据,但泄露的日志显示,连接的物联网设备可能捕获了这些信息。这些记录还引用了MXXXX的产品及其控制应用程序MXXXPro,表明数据可能通过设备本身或应用程序收集。
涉事公司背景
MXXXX是一家总部位于深圳的LED生长灯制造商,专注于XXXXX领域的物联网设备,如XXX生长灯、风扇和冷却系统。该公司在英国、美国和澳大利亚设有仓库,并通过其MXXXXPro应用程序为用户提供远程控制设备的功能。LGXXXXXXXXX LIMITED是MXXXX在加州注册的关联公司,负责部分产品的销售和支持。
潜在风险与安全威胁
此次数据泄露事件暴露了物联网设备普遍存在的安全漏洞。Fowler指出,泄露的Wi-Fi凭证可能被用于“最近邻居攻击”,即攻击者通过暴露的Wi-Fi口令访问附近的网络,进而实施恶意活动。例如,攻击者可以拦截数据、安装恶意软件,甚至劫持设备用于分布式拒绝服务(DDoS)攻击。
此外,泄露的数据还包括设备标识符、IP地址和API详细信息,这些信息可能被用于网络映射、监视或中间人攻击(MITM)。Fowler强调,尽管目前没有证据表明这些数据已被滥用,但潜在的风险不容忽视。特别是,物联网设备通常缺乏强大的安全措施,许多设备使用默认口令或未加密传输数据,这进一步加剧了安全威胁。
物联网安全的普遍问题
此次事件再次凸显了物联网设备在安全性方面的薄弱环节。根据Palo Alto Networks发布的威胁报告,57%的物联网设备存在高度漏洞,其中98%的设备传输未加密的数据。此外,83%的物联网设备运行不受支持或过时的操作系统,使其容易受到已知漏洞的攻击。
许多物联网设备在设计时并未将数据保护作为优先考虑,缺乏长期补丁管理解决方案。用户通常不具备将默认口令更改为复杂口令的技术能力,而一些设备甚至完全没有身份验证机制。这些因素使得物联网设备成为网络攻击的薄弱环节。
厂商与用户的应对措施
Fowler呼吁物联网设备制造商采取更严格的安全措施,包括加密敏感数据、定期进行安全审计以及实施强大的身份验证机制。开发人员应避免以纯文本形式记录敏感信息,并限制对云存储库的访问。此外,制造商应制定长期计划,以维护安全更新和补丁管理,确保设备在整个生命周期内得到保护。
对于用户而言,Fowler建议采取以下措施以降低风险:
-
更改默认口令:为物联网设备设置强口令,避免使用默认凭证。
-
定期更新固件:确保设备运行最新的软件版本,以修复已知漏洞。
-
监控网络活动:定期检查网络流量,识别异常活动。
-
使用加密连接:确保物联网设备通过加密协议(如WPA3)连接到网络。
事件后续与未解之谜
尽管MXXXX在Fowler报告后迅速限制了数据库的公开访问,但仍有一些关键问题未得到解答。例如,数据库暴露了多长时间?是否有其他方在漏洞修复前访问过这些数据?这些问题只有通过内部取证审计才能得到解答。
此外,MXXXX的XXXXPro应用程序在其隐私政策中声称不收集用户数据,但泄露的日志显示,连接的设备可能捕获了这些信息。这一矛盾引发了用户对数据收集透明度的质疑。
小结
此次全球物联网数据泄露事件再次敲响了物联网设备安全警钟。随着物联网设备的普及,数据安全和隐私保护已成为亟待解决的问题。制造商、开发人员和用户必须共同努力,采取更严格的安全措施,以应对日益复杂的网络威胁。此次事件不仅暴露了MXXXX及其关联公司的安全漏洞,也为整个物联网行业敲响了警钟:在追求智能化的同时,忽视数据安全将付出惨痛的代价。
参考资源
1、https://www.vpnmentor.com/news/report-marshydro-breach/
2、https://gbhackers.com/global-iot-data-leak-exposes-2-7-billion-records/
文末福利
暗网论坛今日两则信息1500万国内某天燃气集团用户数据泄露和国内苹果7000万用户数据泄露,据称非常新鲜,有少量样本,分别截止2024年9月和2024年12月,真假未辨。
原文始发于微信公众号(网空闲话plus):疑国内某物联网厂商安全不力!27亿条物联网数据裸奔,Wi-Fi口令、IP地址等隐私信息全曝光!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论