行業新聞與博客

大規模物聯網數據泄露事件暴露了 27 億條記錄，危及了 Wi-Fi 網絡名稱、密碼、IP 地址和設備 ID 等敏感信息。 

網絡安全研究員 Jeremiah Fowler 報告了與中國物聯網植物生長燈公司 Mars Hydro 和加州註冊公司 LG-LED Solutions 相關的未受保護的數據庫。Fowler 向 vpnMentor 披露了這一發現，後者與 Infosecurity獨家分享了這些發現。

該數據庫包含 1.17 TB 未受保護的數據，包含 13 個文件夾，每個文件夾包含超過 1 億條記錄。此外，錯誤日誌還透露了設備操作系統詳細信息、API 令牌和應用程序版本。

這些數據可能屬於 Mars Hydro 的 Mars Pro 應用程序的用户，該應用程序可在 iOS 和 Android 上使用。儘管 Mars Hydro 在信息泄露後迅速限制了訪問權限，但關於泄露持續時間以及未經授權的實體是否訪問了這些數據仍存在疑問。

物聯網數據泄露的風險

暴露的數據帶來了巨大的風險，包括未經授權的網絡訪問和潛在的攻擊，例如“最近鄰居”攻擊，網絡犯罪分子劫持附近的 Wi-Fi 網絡。 

“據報道，2024 年 11 月，來自 GRU 26165 部隊（也稱為 APT28 或 Fancy Bear）的俄羅斯軍事黑客使用 [...]‘近鄰攻擊’攻擊了總部位於華盛頓特區的一個專注於支持烏克蘭的組織，”福勒説。

“黑客入侵了附近組織的網絡，該網絡剛好在目標的 Wi-Fi 覆蓋範圍內，然後便獲得了對受害者網絡的訪問權。”

Palo Alto Networks 的研究表明，57% 的物聯網設備由於操作系統過時或缺乏加密而極易受到攻擊。由於許多物聯網設備使用默認或弱憑證，此類漏洞凸顯了對更好的安全協議的需求。

為了減輕未來的風險，專家建議加密敏感日誌、更改默認密碼、定期進行安全審核並限制公共雲對私有存儲庫的訪問。