A exposição dos dados, que aparentemente ainda não foi usada por algum hacker, expõe uma série de dados muito específicos sobre utilizadores.
Um fornecedor de soluções domésticas inteligentes chinês tem deixado expostos vários milhões de registos de utilizadores de dispositivos, geridos através de plataforma na cloud, que contém uma série de informações confidenciais sobre os seus utilizadores.
A base de dados – que foi encontrada num servidor ElasticSearch sem proteção por password – pertence a uma empresa chinesa chamada Orvibo. A plataforma, chamada SmartMate, é usada por clientes de todo o mundo para gerir os seus dispositivos inteligentes (IoT), incluindo dispositivos de segurança e entretenimento domésticos, além de sistemas de gestão de energia e HVAC. O fabricante de cerca de 100 produtos domésticos e de automação inteligentes, a Orvibo, afirma ter um milhão de clientes, tanto utilizadores individuais quanto empresas.
Investigadores da vpnMentor, descobriram o servidor mal configurado em meados de junho, e disseram que a Orvibo foi notificada acerca do problema por diversas vezes, desde 16 de junho. Contudo, e de acordo com o mais recente relatório, as bases de dados continuam expostas.
Não há evidências de que hackers tenham acedido aos dados, mas com tantas informações de identificação, a possibilidade de abuso é praticamente infinita.
Segundo Jake Moore, especialista em cibersegurança da ESET, “os grupos criminosos podem estar conscientes desta exposição de dados, mas não se sabe se alguém já se aproveitou da mesma, mas se tiver esperemos que seja detetado o quanto antes. O que um hacker poderá fazer com isto vai tão longe quanto a sua imaginação o pode levar”.
Que dados?
Os registos do utilizador – nada mais que dois milhões – incluem uma coleção de dados realmente variados e muito específicos. Existem IDs de utilizador, nomes de familiares e IDs, endereços de e-mail, passwords encriptadas, detalhes de dispositivos inteligentes, dados de localização precisos, endereços IP e códigos de redefinição de contas, que podem ser usados para retirar o acesso das pessoas à suas contas.
O agendamento de informações para coisas como luzes inteligentes também contam das bases de dados e estão ao dispor de qualquer pessoa, o que combinado com os dados de localização geográfica, pode expor as pessoas a possíveis assaltos. Num dos casos, um registo de câmara inteligente continha “uma mensagem que foi gravada palavra por palavra”, com uma série de capturas de ecrã mostrando exemplos redigidos dos dados expostos.