+++ UPDATE 09.07.2019:  Nach Angaben von Bleeping Computer hat Orvibo die eigenen Server gesichert und zusätzliche Maßnahmen eingeleitet, um Kundendaten besser zu schützen.

Ein anscheinend noch nicht geschlossenes Datenleck beim Smart-Home-Unternehmen Orvibo ist Ursache für eine Reihe offen liegender User-Daten.

Verursacht durch ein Datenleck beim chinesischen Smart-Home-Hersteller Orvibo, liegen rund zwei Milliarden Log-Files von smarten Geräten offen. Diese werden über die Cloud-Plattform des Unternehmens gesteuert. Die Log-Dateien enthalten teilweise sehr sensible Informationen über die Orvibo Smart-Home-User.

Der Datenbank-Leak wurde auf einem Elasticsearch-Server ohne Passwort-Schutz gefunden. Die verwaltende Plattform nennt sich SmartMate und wird von Usern überall auf der Welt benutzt, um Internet-of-Things (IoT)-Geräte zu steuern. Darunter fallen beispielsweise Home-Entertainment-, Energie-Management und HLK-Systeme sowie „Home Security“-Geräte. Als Hersteller von rund 100 Smart-Home- oder Smart-Automation-Produkten hat Orvibo nach eigenen Angaben etwa eine Million Kunden – einzelne User und auch Unternehmen.

Forscher von vpnMentor entdeckten den falsch konfigurierten Elasticsearch-Server im Juni und verfassten einen Blog-Beitrag zur Problematik. Darin äußerten sie, dass Orvibo seit dem 16. Juni bereits mehrfach auf das Leak hingewiesen wurde. Neuere Berichte bestätigen, dass das Datenleck weiterhin besteht.

Noch gibt es keine Befunde dafür, dass die Informationen von Cyberkriminellen missbräuchlich verwendet wurden. Durch die Fülle an geleakten Daten kann die Schadenshöhe für Betroffene dennoch enorm sein.

Cyber Security Specialist Jake Moore erklärt: „Womöglich haben Cyberkriminelle schon von dem Daten-Leak erfahren. Noch ist allerdings nicht bekannt, inwiefern sie davon profitiert haben und ob überhaupt. Ich hoffe nur, dass das Datenleck so schnell wie möglich geschlossen wird. Was man mit den Daten alles anstellen kann, mag man sich kaum vorstellen.“

Um was für Daten handelt es sich beim Orvibo Daten-Leak?

Bei den zwei Milliarden User-Logs handelt es sich um eine Kollektion von sehr unterschiedlich spezifischen Daten. Bekannt sind User-IDs, Familiennamen, E-Mail-Adressen, gehashte Passwörter (aber ohne Salt), IoT-Geräte-Details, präzise Geo-Daten, IP-Adressen und Account Reset Codes, mit Hilfe deren man die Smart-Home-User aus ihren Orvibo-Accounts aussperren kann.

Zudem sind für jeden auch die Schaltzeiten von smarten Lichtanlagen einsehbar. In Verbindung mit den Geo-Koordinaten lässt sich in etwa abschätzen, wann jemand zu Hause ist und wann nicht. Einbrecher können diese Informationen zu ihrem Vorteil nutzen. Eine andere Log-Datei enthielt ein Smart-Kamera-Protokoll, aus dem eine wortwörtliche aufgezeichnete Nachricht rekonstruiert werden konnte.