פרצת אבטחה בחברת בית חכם סינית חשפה מידע פרטי של ישראלים
החברה, Orvibo הסינית, מוכרת מוצרי אינטרנט הדברים למשתמשים פרטיים ולמלונות ולקוחות עסקיים; המידע שנחשף כולל כתובות מייל, סיסמאות, מיקום מדויק, כתובות IP וקודים לאיפוס חשבון - מה שמאפשר להזיק לעסקים ולגולשים פרטיים
- סכנה לקבצים: נחשפה פרצת אבטחה חמורה בפיירפוקס
- מאות מיליוני גיימרים נחשפו לגניבה בגלל פירצה במערכות EA
- נחשפה מתקפת סייבר במסגרתה נפרצו 12 מספקיות סלולר הגדולות בעולם
בין השאר, מוכרת Orvibo חיישנים לדלתות וחלונות, חיישני אבטחה לאזעקות, שקעים חכמים לחיבור מכשירים שונים, מצלמות אבטחה ביתיות ועוד. אף שהחוקרים פנו לחברה עם המידע על הפרצה כבר ב-16 ביוני, לא קיבלו החוקרים כל מענה מהחברה ונכון ל-30 ביוני הפרצה טרם תוקנה. פנייה מצד אתר ZDNet נותרה גם היא ללא מענה.
ל-Orvibo הסינית יש, לטענתה, יותר ממיליון לקוחות. ביניהם משתמשים פרטיים וכן מלונות ולקוחות עסקיים אחרים. לדברי החוקרים, הפרצה השפיעה על לקוחות בכל העולם והם הצליחו לאתר רשומות של לקוחות מישראל, סין, יפן, תאילנד, ארה"ב, מקסיקו, בריטניה, צרפת, אוסטרליה וברזיל.
"המידע שזמין בשרתים של Oribivo עצום", כתבו החוקרים במסמך שמתאר את הפרצה. "הוא גם מראה כמה מידע מכשירי בית חכם אוספים על המשתמשים שלהם". המידע שנחשף כולל כתובות מייל, סיסמאות, מיקום מדויק, כתובות IP, שם משפחה וקודים לאיפוס חשבון. "עם קוד איפוס אפשר לנעול משתמש מחוץ לחשבון שלו, מכיוון שלא צריך גישה למייל כדי לאפס סיסמה. הקוד גם מאפשר לשנות את הסיסמה ואת המייל של החשבון. זה אומר ששחקן רע יכול לנעול לצמיתות משתמש מהחשבון שלו".
פגיעה ישירה בעסקים
לדברי החוקרים, לפרצה מסוג זה יכולות להיות השלכות מסיביות. "לכל מוצר בקטלוג של אורביבו יכולות להיות השפעות שליליות עצומות על המשתמשים", הם כתבו.
"ניתן, לדוגמה, לפרוץ לחשבון שמנהל שקע חכם ולשנות את רמת צריכת האנרגיה של המשתמש ללא ידיעתו. תרחיש אחר יכול להיות ניתוק הזרם דרך מתגי חשמל חכמים, שיכול להכניס את המשתמש לאפלה בדיוק ברגע שהוא זקוק לתאורה טובה. בשביל אנשים רבים זה יכול היות מצב מסוכן. אם אירוע כזה מתרחש בבית עסק זה יכול להוביל לאובדן הכנסות".
לדבריהם, גישה דומה למנעולים חכמים, מצלמות אבטחה מחוברות או ערכות בית חכם שלמות – כולם מוצרים שמוכרת אורביבו - יכולה להוביל לתרחישים בעייתיים יותר, כמו גישה של תוקף לשידור חי ממצלמת אבטחה, או פתיחת מנעול חכם. "זאת בנוסף לכמות עצומה של מידע אישי מזהה שיכול לשמש לשיבוש החיים של המשתמש או כבסיס למתקפות אחרות", כתבו. כמו, למשל, מידע על טיימרים שהוגדרו לפעילות של מכשירים שונים, שיכול לסייע לתוקפים לעקוב אחר לוח הזמנים של הקרבן.