Orvibo: Smart-Home-Datenbank mit 2 Milliarden Einträgen offengelegt
In China gab es ein riesiges Datenleck bei einem der grösseren Smart-Home-Hersteller: Orvibo. Der Produzent von über 100 Smart-Home-Devices hatte anscheinend ein Problem mit seiner Datenbank, die offen im Internet zugänglich gewesen sein sollte. Das Unternehmen selbst gibt derzeit keine Stellungnahme ab. Die Datenbank ist mittlerweile nicht mehr erreichbar.
Orvibo: Datenleck legt 2 Milliarden Einträge offen
Wie genau es zu dem «Unfall» kam ist bisher nicht bekannt. Fakt ist allerdings, dass der Smart-Home-Spezialist Orvibo aus China aus Versehen über 2 Milliarden Datenbankeinträge seiner Nutzer offenlegte. Es handelte sich hierbei um Informationen in Verbindung mit Smart-Home-Produkten des Herstellers. Orvibo selbst baut von einfachen intelligenten Steckdosen bis hin zu grösseren Sicherheitslösungen wie Kameras, die ins Smart Home eingebunden werden können.
Gefunden wurde die offengelegte Datenbank von zwei Sicherheitsforschern, wie das Magazin Forbes mitteilt. Sie hatten Zugang ohne jeglichen Passwortschutz und konnten so auf persönliche Daten von Nutzern zugreifen. So hätte man persönliche Bilder und Videos abgreifen können, die in der Datenbank hinterlegt wurden. Zudem lag der Zugang zu weit über einer Million in Smart Home eingebundene Geräte offen. Die beiden Sicherheitsforscher geben auch an, dass man jedes beliebige Nutzerkonto ohne Probleme hätte übernehmen können.
Das liegt vor allem daran, dass die Daten in der Datenbank zwar gehasht wurden, allerdings im MD5-Verfahren, welches als veraltet und mittlerweile auch als unsicher gilt. Gefunden haben die Sicherheitsforscher Nutzer aus Frankreich, Grossbritannien, USA, Japan und China. Laut Angaben von Orvibo hat das Unternehmen über 100 Millionen Kunden auf der ganzen Welt.
Keine Antwort von Orvibo, Datenbank nicht mehr zugänglich
Die Sicherheitsforscher kontaktierten – nach dem Entdecken des Sicherheitslecks – Orvibo umgehend. Die Kontaktaufnahme geschah am 16. Juni. Bisher meldete sich das Unternehmen allerdings nicht. Die Datenbank selbst ist über das Internet aber nicht mehr erreichbar. Ob Hacker bereits Zugriff auf die Daten hatten ist ungewisse. Auch ist nicht bekannt, wie lange die Datenbank von Orvibo in diesem Zustand offen im Internet zu finden war.
Interessant ist hier ein Vergleich zur neuen Apple HomeKit Secure Video Funktion. Apple stellte die Funktion zusammen mit dem neuen iOS 13 Update vor. Zwar können die Daten hier auch in die iCloud transferiert werden, allerdings werden Videos und Bilder auf dem Device selbst verschlüsselt und dann in eine zusätzlich gesicherte iCloud hochgeladen. Das dürfte bei weitem sicherer sein, als die persönlichen Daten in eine Datenbank zu laden, die im MD5-Verfahren versucht die Daten zu verschlüsseln.
Quelle: Forbes