近日，一場(chǎng)規(guī)模巨大的物聯(lián)網(wǎng)（IoT）安全漏洞事件曝光了27億條包含敏感用戶數(shù)據(jù)的信息，其中包括Wi-Fi網(wǎng)絡(luò)名稱、密碼、IP地址和設(shè)備標(biāo)識(shí)符。此次事件與中國(guó)植物生長(zhǎng)燈制造商Mars Hydro以及加州注冊(cè)公司LG-LED SOLUTIONS LIMITED有關(guān)。

網(wǎng)絡(luò)安全研究人員Jeremiah Fowler發(fā)現(xiàn)了這個(gè)未受保護(hù)的數(shù)據(jù)庫(kù)，并向vpnMentor進(jìn)行了報(bào)告。這一事件凸顯了物聯(lián)網(wǎng)設(shè)備安全和云存儲(chǔ)實(shí)踐中的嚴(yán)重漏洞。

這個(gè)公開(kāi)可訪問(wèn)的數(shù)據(jù)庫(kù)總計(jì)1.17TB，沒(méi)有任何密碼保護(hù)或加密措施。它包含了全球售出的物聯(lián)網(wǎng)設(shè)備的日志、監(jiān)控記錄和錯(cuò)誤報(bào)告，具體內(nèi)容包括：

泄露的詳細(xì)信息（來(lái)源：VPNMentor）

• Wi-Fi SSID（網(wǎng)絡(luò)名稱）和明文密碼。
• IP地址、設(shè)備ID、MAC地址和操作系統(tǒng)詳細(xì)信息（iOS/Android）。
• API令牌、應(yīng)用程序版本以及標(biāo)有“Mars-pro-iot-error”或“SF-iot-error”的錯(cuò)誤日志。

Wi-Fi密碼（來(lái)源：VPNMentor）

事件背景與調(diào)查

Mars Hydro的Mars Pro應(yīng)用程序用于控制物聯(lián)網(wǎng)生長(zhǎng)燈和氣候系統(tǒng)，盡管其隱私政策聲稱不收集用戶數(shù)據(jù)，但據(jù)報(bào)道，該應(yīng)用程序仍然收集了這些數(shù)據(jù)。

進(jìn)一步的調(diào)查發(fā)現(xiàn)，這些記錄與加州注冊(cè)公司LG-LED SOLUTIONS LIMITED有關(guān)。泄露的數(shù)據(jù)還包括API詳細(xì)信息以及LG-LED SOLUTIONS、Mars Hydro和Spider Farmer公司的URL鏈接，這些公司生產(chǎn)和銷售農(nóng)業(yè)生長(zhǎng)燈、風(fēng)扇和冷卻系統(tǒng)。

許多記錄標(biāo)有“Mars-pro-iot-error”或“SF-iot-error”，其中包含令牌、應(yīng)用版本、設(shè)備類型和IP地址以及SSID憑證。

Fowler迅速通知了LG-LED SOLUTIONS和Mars Hydro，幾小時(shí)后，數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限被限制。Mars Hydro確認(rèn)，“Mars Pro”應(yīng)用程序是他們的官方產(chǎn)品，該應(yīng)用在iOS和Android平臺(tái)上支持多種語(yǔ)言。

然而，目前尚不清楚LG-LED SOLUTIONS是否直接管理該數(shù)據(jù)庫(kù)，或者是否使用了第三方承包商。數(shù)據(jù)庫(kù)曝光的時(shí)間長(zhǎng)度以及是否有未經(jīng)授權(quán)的方訪問(wèn)過(guò)它也不得而知。

安全風(fēng)險(xiǎn)與影響

泄露的數(shù)據(jù)帶來(lái)了嚴(yán)重的風(fēng)險(xiǎn)：

• 網(wǎng)絡(luò)滲透：攻擊者可以利用暴露的Wi-Fi憑證訪問(wèn)家庭或企業(yè)網(wǎng)絡(luò)，從而實(shí)施中間人攻擊、數(shù)據(jù)攔截或勒索軟件部署。
• 僵尸網(wǎng)絡(luò)招募：受感染的物聯(lián)網(wǎng)設(shè)備可能被劫持用于DDoS攻擊，正如最近涉及Matrix黑客組織的事件所示。
• 物理威脅：惡意行為者可能操縱連接的生長(zhǎng)燈、風(fēng)扇或冷卻系統(tǒng)，從而可能破壞農(nóng)作物。

Fowler特別強(qiáng)調(diào)了“最近鄰攻擊”這種戰(zhàn)術(shù)的可能性，這是俄羅斯GRU黑客在2024年通過(guò)附近Wi-Fi網(wǎng)絡(luò)入侵一家烏克蘭組織的策略。

Palo Alto Networks的威脅報(bào)告為此提供了背景：98%的物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)未加密，57%的設(shè)備高度脆弱。

此次事件反映了物聯(lián)網(wǎng)安全中的系統(tǒng)性缺陷：

• 弱加密：許多設(shè)備依賴如WPA2等過(guò)時(shí)的協(xié)議，這些協(xié)議容易受到暴力破解攻擊。
• 默認(rèn)密碼：用戶往往未能更改出廠設(shè)置，導(dǎo)致設(shè)備暴露在風(fēng)險(xiǎn)中。
• 集中化云存儲(chǔ)風(fēng)險(xiǎn)：在未受保護(hù)的服務(wù)器上存儲(chǔ)大量數(shù)據(jù)，創(chuàng)造了單點(diǎn)故障。

值得注意的是，研究人員猜測(cè)此次泄露可能涉及2019年由中國(guó)智能設(shè)備品牌Orvibo暴露的同一數(shù)據(jù)庫(kù)。

專家們敦促物聯(lián)網(wǎng)制造商和用戶采取以下措施：

• 加密敏感日志，并用令牌化值替換明文憑證。
• 分割網(wǎng)絡(luò)，將物聯(lián)網(wǎng)設(shè)備與關(guān)鍵系統(tǒng)隔離。
• 進(jìn)行定期審計(jì)和滲透測(cè)試。

Mars Hydro和LG-LED SOLUTIONS尚未就此次泄露事件的起源或可能的第三方參與發(fā)表評(píng)論。Fowler強(qiáng)調(diào)，他的發(fā)現(xiàn)旨在“提高人們的意識(shí)”，目前沒(méi)有證據(jù)表明存在直接濫用行為。