圈小蛙
中国物联网设备制造商 Mars Hydro 旗下数据库因安全配置错误,导致全球用户数据泄露,涉及 27 亿条记录,总大小达 1.17TB。安全研究员 Jeremiah Fowler 发现,该数据库 未受密码保护或加密,其中包含 Wi-Fi SSID(网络名称)、密码、设备 ID、IP 地址及 API 详细信息,甚至可用于远程控制设备。
本次数据泄露涉及 LG-LED SOLUTIONS LIMITED,该公司在美国加州注册,并运营 Mars Hydro 和 Spider Farmer 等智能生长灯品牌,设备遍布全球。研究人员指出,错误日志中包含用户设备信息,暴露了 智能手机操作系统、App 版本、授权令牌等敏感数据。这些数据若被恶意利用,可能会导致用户网络遭入侵、物联网设备被远程控制,甚至用于更高级的网络攻击,如 中间人攻击(MITM) 或 DDoS 攻击。
在收到安全通知后,Mars Hydro 已在数小时内封锁数据库访问,但未对此次泄露发表公开声明。研究人员向该公司客户支持团队求证,确认 Mars Pro App 属于官方产品,但仍不清楚数据库是由 Mars Hydro 直接运营,还是通过第三方承包商管理。此外,目前尚无法确定数据库暴露的时间以及是否有其他黑客或第三方访问过这些数据。
物联网安全问题日益严峻,此前 Palo Alto Networks 研究显示,57% 的 IoT 设备存在严重漏洞,98% 的数据未加密传输,使其极易成为攻击目标。本次泄露事件再次暴露了物联网产品 缺乏长期安全维护、数据存储管理不当 等问题。专家建议受影响用户:
- 立即更改 Wi-Fi 密码,并避免使用默认设备密码;
- 检查路由器日志,监测是否有异常设备连接;
- 在网络设备上启用 WPA3 加密,提高安全性;
- 定期更新固件,避免使用未受支持的 IoT 设备。
尽管 Mars Hydro 迅速封锁了数据库,但此类泄露事件暴露出的安全隐患仍值得行业警惕。IoT 设备厂商应加强数据加密措施,避免存储敏感信息,并定期进行安全审计,以降低用户数据遭窃取的风险。
另外有意思的是根据 Google Play 和 Apple App Store 上的 Mars Hydro 数据隐私声明,该应用程序不收集用户数据。
物联网数据泄露的风险
暴露的数据带来了巨大的风险,包括未经授权的网络访问和潜在的攻击,例如“最近邻居”攻击,网络犯罪分子劫持附近的 Wi-Fi 网络。
“据报道,2024 年 11 月,来自 GRU 26165 部队(也称为 APT28 或 Fancy Bear)的俄罗斯军事黑客使用 […]‘近邻攻击’攻击了总部位于华盛顿特区的一个专注于支持乌克兰的组织,”Fowler 说。
“黑客入侵了附近组织的网络,该网络刚好在目标的 Wi-Fi 覆盖范围内,然后就获得了对受害者网络的访问权。”
Palo Alto Networks 的研究表明,57% 的物联网设备由于操作系统过时或缺乏加密而极易受到攻击。由于许多物联网设备使用默认或弱凭证,此类漏洞凸显了对更好的安全协议的需求。
为了减轻未来的风险,专家建议加密敏感日志、更改默认密码、定期进行安全审核并限制公共云对私有存储库的访问。