Zdroj: SecurityDiscovery.com/Bob Diachenko
Ak ste v poslednej dobe vyberali nový televízor, práčku alebo chladničku, tak ste si možno všimli nový fenomén. Tieto kedysi obyčajné zariadenia začínajú mať vstavané displeje, počítače a pripojenia do internetu. Je však diskutabilné či je to v záujme zákazníka, aby tieto zariadenia komunikovali cez internet.
Jeden príklad odhalil známy lovec nezabezpečených databáz Bob Diachenko. Ešte 1.10.2019 našiel web rozhranie a databázu s Heartbeat monitorovacou službou. Popis na web rozhraní bol:“Tu môžete analyzovať výsledky plného skenu, ktorý prebieha každú hodinu. Sken stiahne údaje pre každý spotrebič. Môže okrem iných vecí zistiť či je zariadenia online alebo offline. Zaznamenáva historické údaje o statuse každého spotrebiča“.
Na pozadí zobrazovaných údajov bola MongoDB databáza s verejnou IP adresou a bez zabezpečenia prístupu. Databáza obsahovala 28 miliónov záznamov. Po pozornejšom preštudovaní údajov bolo jasné, že databáza patrí do cloud infraštruktúry firmy Whirlpool. Databáza obsahovala nasledujúce informácie o ich spotrebičoch:
- email zákazníka
- SAID (smart appliance ID) číslo
- meno a číslo modelu
- rôzne atribúty skenovaných spotrebičov
Po upozornení bola databáza aj servisná inštancia do 24 hodín zabezpečená. Po niekoľkodňovom vyšetrovaní vo firme Whirlpool zistili, že 48.000 emailov zákazníkov bolo exponovaných vo voľne prístupnej databáze. Poďakovali sa Bobovi Diachenkovi za informáciu a budú informovať zákazníkov o možnom úniku emailov a informácií. Na záver si Bob Diachenko povzdychol, že asi je staromódny, ale neželá si, aby jeho spotrebiče komunikovali s internetom.
Obrázok: Whirlpool
