tgoop.com/CN_Privacy/543
Last Update:
Mars Hydro 物联网数据库泄露:27 亿条用户数据暴露,涉及 Wi-Fi 密码、设备 ID 和 API 凭据
中国物联网设备制造商 Mars Hydro 旗下数据库因安全配置错误,导致全球用户数据泄露,涉及 27 亿条记录,总大小达 1.17TB。安全研究员 Jeremiah Fowler 发现,该数据库 未受密码保护或加密,其中包含 Wi-Fi SSID(网络名称)、密码、设备 ID、IP 地址及 API 详细信息,甚至可用于远程控制设备。
本次数据泄露涉及 LG-LED SOLUTIONS LIMITED,该公司在美国加州注册,并运营 Mars Hydro 和 Spider Farmer 等智能生长灯品牌,设备遍布全球。研究人员指出,错误日志中包含用户设备信息,暴露了 智能手机操作系统、App 版本、授权令牌 等敏感数据。这些数据若被恶意利用,可能会导致 用户网络遭入侵、物联网设备被远程控制,甚至用于更高级的网络攻击,如 中间人攻击(MITM) 或 DDoS 攻击。
在收到安全通知后,Mars Hydro 已在数小时内封锁数据库访问,但未对此次泄露发表公开声明。研究人员向该公司客户支持团队求证,确认 Mars Pro App 属于官方产品,但仍不清楚数据库是由 Mars Hydro 直接运营,还是通过第三方承包商管理。此外,目前尚无法确定数据库暴露的时间以及是否有其他黑客或第三方访问过这些数据。
物联网安全问题日益严峻,此前 Palo Alto Networks 研究显示,57% 的 IoT 设备存在严重漏洞,98% 的数据未加密传输,使其极易成为攻击目标。本次泄露事件再次暴露了物联网产品 缺乏长期安全维护、数据存储管理不当 等问题。专家建议受影响用户:
• 立即更改 Wi-Fi 密码,并避免使用默认设备密码;
• 检查路由器日志,监测是否有异常设备连接;
• 在网络设备上启用 WPA3 加密,提高安全性;
• 定期更新固件,避免使用未受支持的 IoT 设备。
尽管 Mars Hydro 迅速封锁了数据库,但此类泄露事件暴露出的安全隐患仍值得行业警惕。IoT 设备厂商应加强数据加密措施,避免存储敏感信息,并定期进行安全审计,以降低用户数据遭窃取的风险。
另外有意思的是根据 Google Play 和 Apple App Store 上的 Mars Hydro 数据隐私声明,该应用程序不收集用户数据。💀💀💀
参考链接 [1]
BY 隐私中国 Dark Web Inform
Share with your friend now:
tgoop.com/CN_Privacy/543