Brèche: deux milliards de logs d'utilisateurs de maisons connectées touchés

MISE À JOUR : Selon un article de Bleeping Computer, la société a sécurisé le serveur et pris des mesures supplémentaires pour protéger les données de ses clients.

Un fournisseur chinois de solutions pour la maison intelligente a subi une brèche touchant des données de milliards de logs d'appareils gérés via la plate-forme de cloud computing de l'entreprise, exposant une série d'informations sensibles sur leurs utilisateurs.

La base de données - qui a été trouvée sur un serveur ElasticSearch sans protection par mot de passe - appartient à la société chinoise Orvibo. La plateforme, appelée SmartMate, est utilisée par des clients du monde entier pour gérer leurs appareils connectés via l’Internet des Objets (IdO), y compris les appareils de divertissement à domicile et de sécurité, et les systèmes de gestion de l'énergie et de CVC. Fabricant d'une centaine de produits de maison intelligente ou d'automatisation intelligente, Orvibo souligne avoir un million de clients, particuliers et entreprises.

Les chercheurs de vpnMentor, qui ont découvert le serveur mal configuré à la mi-juin, ont décrit leurs conclusions dans cet article, soulignent qu'Orvibo a été informé du problème plusieurs fois depuis le 16 juin. Selon les derniers rapports (datant du 1^er juillet), la base de données reste exposée.

Rien ne prouve que les cybercriminels aient eu accès aux données, mais avec une telle abondance d'informations d'identification, les possibilités d'abus sont pratiquement infinies.

Comme l’explique Jake Moore, spécialiste de la cybersécurité d’ESET : « Les groupes criminels étaient peut-être au courant de cette brèche de sécurité des données, mais on ne sait pas encore si quelqu'un a profité de cette fuite. J'espère qu'elle sera rapidement colmatée maintenant qu'elle est rendue publique. Ce qu'un pirate informatique criminel pourrait faire avec cela n’est limité que par leur imagination. »

Quelles données?

Les logs des utilisateurs touchés – on parle de pas moins deux milliards de ceux-ci – contiennent une kyrielle de données vraiment variées et très spécifiques. On y trouve notamment des identificateurs d'utilisateur, des noms et des identificateurs de famille, des adresses électroniques, des mots de passe hachés (mais non salés), des détails sur les dispositifs intelligents, des données de localisation précises, des adresses IP, ainsi que des codes de réinitialisation de compte, qui pouvaient être utilisés pour verrouiller les comptes des usagers.

Les détails sur les horaires de produits tels que des lumières intelligentes est également accessible à tout le monde. Combiné avec les données de géolocalisation, cela pourrait exposer les gens à des cambriolages. Dans un cas, le journal d'une caméra intelligente comprenait « un message enregistré au mot près », selon l’analyse. Celle-ci contenait également une foule de captures d'écran montrant des exemples des données expurgées.