Wi-Fi ağ adları, şifreler, IP adresleri ve cihaz tanımlayıcıları da dahil olmak üzere hassas kullanıcı verileri içeren büyük bir 2.7 milyar kayıt, Çin tabanlı bir büyüme ışık üreticisi olan Mars Hydro ile bağlantılı büyük bir IoT güvenlik ihlalinde ortaya çıktı. Kaliforniya kayıtlı bir firma olan LED Solutions Limited.
Siber güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedilen ve VPNmentor’a bildirilen korunmasız veritabanı, IoT cihaz güvenliği ve bulut depolama uygulamalarında kritik güvenlik açıklarının altını çiziyor.
Toplam 1.17 terabayt olan maruz kalan veritabanı, şifre koruması veya şifreleme olmadan kamuya açık olarak erişilebilirdi. Global olarak satılan IoT cihazlarından günlükler, izleme kayıtları ve hata raporları içeriyordu:
- Wi-Fi SSID’ler (Ağ Adları) ve düz metinde şifreler.
- IP adreslericihaz kimlikleri, MAC adresleri ve işletim sistemi ayrıntıları (iOS/Android).
- API jetonları, uygulama sürümleri ve “Mars-Pro-IoT-Error” veya “SF-IOIT-Hedef” etiketli hata günlükleri.
IoT büyüme ışıklarını ve iklim sistemlerini kontrol etmek için kullanılan Mars Hydro’s Mars Pro uygulaması, kullanıcı veri toplama talep etmeyen gizlilik politikasına rağmen bu verileri topladığı bildirildi.
Daha fazla araştırma, kayıtları Kaliforniya kayıtlı bir şirket olan LG-Led Solutions Limited ile ilişkilendirdi. Maruz kalan veriler ayrıca API detayları ve LG liderliğindeki çözümler, Mars Hydro ve tarımsal büyüme ışıkları, fanlar ve soğutma sistemleri üreten ve satan Spider Farmer şirketlerine URL bağlantıları da içeriyordu.
Birçok kayıt, SSID kimlik bilgilerinin yanı sıra jetonlar, uygulama sürümleri, cihaz türleri ve IP adreslerini içeren “Mars-Pro-IoT-Hedef” veya “SF-IOIT-HedRor” olarak etiketlendi.
Fowler derhal LG liderliğindeki çözümleri ve Mars Hydro’yu bildirdi ve birkaç saat içinde veritabanına erişim kısıtlandı. Mars Hydro, hem iOS hem de Android’de birden fazla dilde bulunan “Mars Pro” uygulamasının resmi ürünleri olduğunu doğruladı.
Bununla birlikte, LG liderliğindeki çözümlerin veritabanını doğrudan yönetip yönetmediği veya üçüncü taraf bir yüklenici kullanıp kullanmadığı belirsizliğini koruyor. Veritabanının maruz kalması ve yetkisiz tarafların erişip erişmediği de bilinmemektedir.
Güvenlik riskleri ve sonuçları
Sızan veriler ciddi riskler doğurur:
- Ağ sızma: Saldırganlar, ev veya iş ağlarına erişmek için maruz kalan Wi-Fi kimlik bilgilerini kullanabilir, bu da ortadaki adam saldırılarını, veri müdahalesini veya fidye yazılımı dağıtımını sağlar.
- Botnet işe alım: Matrix Hacker grubunu içeren son olaylarda görüldüğü gibi, DDOS saldırıları için tehlikeye atılan IoT cihazları kaçırılabilir.
- Fiziksel Tehditler: Kötü niyetli aktörler, bitkileri potansiyel olarak yok eden bağlı büyüme ışıklarını, fanları veya soğutma sistemlerini manipüle edebilir.
Fowler, yakındaki Wi-Fi Networks aracılığıyla Ukrayna odaklı bir organizasyonu ihlal etmek için 2024’te Rus Gru hackerları tarafından kullanılan bir taktik olan “en yakın komşu saldırıyı” vurguladı.makul bir risk senaryosu olarak.
Palo Alto Networks’ün Tehdit Raporu Bağlam ekler: IoT cihaz verilerinin% 98’i şifrelenmemiş ve cihazların% 57’si oldukça savunmasızdır.
Bu olay sistemik IoT güvenlik kusurlarını yansıtır:
- Zayıf şifreleme: Birçok cihaz, kaba kuvvet saldırılarına karşı savunmasız olan WPA2 gibi modası geçmiş protokollere güvenmektedir.
- Varsayılan şifreler: Kullanıcılar genellikle cihazları açık bırakarak fabrika ayarlarını değiştiremez.
- Merkezi bulut riskleri: Güvensiz verilerin teminatsız sunucularda depolanması tek hata noktaları oluşturur.
Özellikle, araştırmacılar bu ihlalin 2019 yılında Çinli bir akıllı cihaz markası Orvibo tarafından maruz bırakılan aynı veritabanını içerebileceğini düşünüyor.
Uzmanlar, IoT üreticilerini ve kullanıcılarını şunlara çağırıyor:
- Hassas günlükleri şifreleyin ve düz metin kimlik bilgilerini tokenize değerlerle değiştirin.
- Segment ağları IoT cihazlarını kritik sistemlerden izole etmek için.
- Düzenli denetimler yapın ve penetrasyon testi.
Mars Hydro ve LG liderliğindeki çözümler, ihlalin kökeni veya potansiyel üçüncü taraf katılımı hakkında yorum yapmadı. Fowler, bulgularının doğrudan kötüye kullanım kanıtı olmadan “farkındalığı artırmayı” vurguladı.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri