Büyük bir güvenlik atlaması, hassas Wi-Fi kimlik bilgileri, cihaz bilgileri ve kullanıcı detayları da dahil olmak üzere 2,7 milyardan fazla kayıt açarak IoT (Nesnelerin İnterneti) güvenliği konusunda küresel endişeleri artırdı.
Siber güvenlik araştırmacısı Jeremiah Fowler, Çin merkezli IoT özellikli büyüme ışıkları ve tarım cihazlarının üreticisi Mars Hydro ile bağlantılı bu korunmasız veritabanını ortaya çıkardı ve bulguları VPNmentor’a açıkladı.
Toplam 1.17 TB boyutunda, Wi-Fi ağ adları (SSID), şifreler, IP adresleri, cihaz kimlikleri ve bağlı IoT cihazlarıyla ilgili günlükler dahil olmak üzere 2.734.819.501 kayıt içeriyordu.
Endişe verici bir şekilde, bu veriler şifreleme olmadan düz metinde saklandı, bu da onu yetkisiz erişim ve potansiyel sömürüye karşı savunmasız hale getirdi.
İhlalin detayları
Sızan veriler Mars Hydro ve bağlı şirketi LG-Led Solutions Limited, California’da kayıtlı.
Veritabanı ayrıca API detayları, cihaz işletim sistemi bilgileri (örn., İOS, Android) ve Mars Hydro’nun ürünlerine ve ilgili kontrol uygulaması Mars Pro’ya başvuran hata günlüklerini de içeriyordu.
Mars Hydro’nun resmi uygulamasının kullanıcı verisi toplamadığı iddiasına rağmen, günlükler, muhtemelen IoT cihazlarının kendileri tarafından yakalanan bağlantı ayrıntılarını ve kullanıcı kimlik bilgilerini ortaya çıkardı.
Fowler, ihlalin yetkisiz ağ erişimi ve gelişmiş siber saldırılar potansiyeli gibi risklerin genişletildiğini belirtti.
Örneğin, maruz kalan SSID kimlik bilgileri, saldırganların özel Wi-Fi ağlarına erişmesine, verilere müdahale etmesine ve hatta bağlı cihazlardan kötü niyetli amaçlar için kullanmasına izin verebilir.
Mars Hydro, Fowler’ın sorunu bildirmesinden kısa bir süre sonra halkın veritabanına erişimini kısıtladı.
Ancak, veritabanının ne kadar süre maruz kaldığı ve diğer tarafların ihlalin güvence altına alınmadan önce verilere erişip erişmediği gibi önemli sorular cevaplanmamıştır.
Bu olay, IoT ekosistemlerindeki artan güvenlik açıklarını vurgulamaktadır. Bir Palo Alto Networks raporuna göre, IoT cihazlarının% 57’si son derece savunmasızdır,% 98’i şifrelenmemiş verileri iletir.
Birçok IoT cihazı, modası geçmiş yazılıma, varsayılan şifrelere veya tamamen daha da kötüleşen güvenlik tehditlerini daha da kötüleştiren kimlik doğrulamasına güvenir.
Fowler, hackerların maruz kalan Wi-Fi kimlik bilgileri aracılığıyla yakındaki ağlara sızdığı “en yakın komşu saldırıları” için kullanılıyor gibi veri ihlallerinin riskini vurguladı.
Bu tür güvenlik açıkları, sürveyans, ortadaki insan (MITM) saldırılarını veya işlemleri bozacak IoT cihazlarının manipülasyonunu kolaylaştırabilir.
Uzmanlar, IoT üreticilerini hassas verileri şifreleyerek, düzenli güvenlik denetimleri yaparak ve sağlam kimlik doğrulama mekanizmaları uygulayarak güvenliğe öncelik vermeye çağırıyor.
Geliştiriciler ayrıca hassas kullanıcı bilgilerini düz metinde günlüğe kaydetmekten kaçınmalı ve bulut depolama depolarına erişimi kısıtlamalıdır.
Mars Hydro ve bağlı kuruluşları suistimal iddialarıyla karşılaşmamış olsa da, bu ihlal hızla genişleyen IoT manzarasında artan veri koruma standartlarına yönelik kritik ihtiyacın altını çizmektedir.
Kullanıcılar için, güçlü şifreleri benimsemek ve IoT cihazlarını güvence altına almak, gizliliği korumak ve siber saldırıları önlemek için çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free