行業新聞與部落格

大規模物聯網資料洩露事件暴露了 27 億條記錄，危及了 Wi-Fi 網路名稱、密碼、IP 地址和裝置 ID 等敏感資訊。 

網路安全研究員 Jeremiah Fowler 報告了與中國物聯網植物生長燈公司 Mars Hydro 和加州註冊公司 LG-LED Solutions 相關的未受保護的資料庫。Fowler 向 vpnMentor 披露了這一發現，後者與 Infosecurity獨家分享了這些發現。

該資料庫包含 1.17 TB 未受保護的資料，包含 13 個資料夾，每個資料夾包含超過 1 億條記錄。此外，錯誤日誌還透露了裝置作業系統詳細資訊、API 令牌和應用程式版本。

這些資料可能屬於 Mars Hydro 的 Mars Pro 應用程式的使用者，該應用程式可在 iOS 和 Android 上使用。儘管 Mars Hydro 在資訊洩露後迅速限制了訪問許可權，但關於洩露持續時間以及未經授權的實體是否訪問了這些資料仍存在疑問。

物聯網資料洩露的風險

暴露的資料帶來了巨大的風險，包括未經授權的網路訪問和潛在的攻擊，例如“最近鄰居”攻擊，網路犯罪分子劫持附近的 Wi-Fi 網路。 

“據報道，2024 年 11 月，來自 GRU 26165 部隊（也稱為 APT28 或 Fancy Bear）的俄羅斯軍事駭客使用 [...]‘近鄰攻擊’攻擊了總部位於華盛頓特區的一個專注於支援烏克蘭的組織，”福勒說。

“駭客入侵了附近組織的網路，該網路剛好在目標的 Wi-Fi 覆蓋範圍內，然後便獲得了對受害者網路的訪問權。”

Palo Alto Networks 的研究表明，57% 的物聯網裝置由於作業系統過時或缺乏加密而極易受到攻擊。由於許多物聯網裝置使用預設或弱憑證，此類漏洞凸顯了對更好的安全協議的需求。

為了減輕未來的風險，專家建議加密敏感日誌、更改預設密碼、定期進行安全稽核並限制公共雲對私有儲存庫的訪問。