Das Orvibo Desaster: Milliarden Kundendaten geleaked
In den vergangenen Wochen gab es erneut zahlreiche Warnungen zu Sicherheitsrisiken im IoT. Das unlängst entdeckte Orvibo Datenleck stellt die meisten davon in den Schatten.
Erst kürzlich machte die neue Silex Malware auf sich aufmerksam – sie greift auf verschiedenen Wegen potentiell verwundbare IoT-Geräte an; versucht Exploits und die Bequemlichkeit der Nutzer auszunutzen, um sich Zugang zu verschaffen und Geräte lahmzulegen.
Haarsträubende Schwachstellen fanden Sicherheitsforscher auch in Smart Home Produkten des osteuropäischen Herstellers Zipato. Mit geringem Aufwand lassen sich aus der Kommunikation der Smart Home Geräte mit der Cloud bzw. dem Internet Schlüsseldaten auslesen, die im schlimmsten Fall dazu führen, dass Angreifer Root-Rechte auf dem Gerät erlangen können.
Angriffe von Silex und Hacks auf Zipato Geräte setzen jedoch voraus, dass potentielle Angreifer über ein gewisses Maß an technischem Sachverstand verfügen. Darüber hinaus müssen Standort und digitale Zugangswege zunächst ermittelt werden.
2 Milliarden Datensätze geleaked
Das Expertenteam für Cybersicherheit von vpn Mentor – unter der Leitung von Noam Rotem und Ran Locar – entdeckte eine offene Datenbank, die mit Orvibo Smart Home Produkten verknüpft war. Die Datenbank enthält über 2 Milliarden Protokolle, die alles von Benutzernamen, E-Mail-Adressen und Passwörtern – bis hin zu genauen Orten erfassen.
Orvibo gibt an, über eine Million Benutzer bzw. Kunden zu haben. Dazu gehören Privatpersonen, die ihre Häuser vernetzt haben – sowie Hotels und andere Unternehmen mit Orvibo Smart Home Geräten.
Das Leak stellt eine massive Verletzung der Privatsphäre und Sicherheit mit weitreichenden Auswirkungen dar. Die Datenschutzverletzung betrifft Benutzer aus der ganzen Welt. vpn Mentor fand im Laufe der weiteren Analyse der Datenbank Protokolle für Benutzer aus u.a. China, Japan, Thailand, den USA, Großbritannien, Mexiko, Frankreich, Australien und Brasilien. Gleichwohl sind auch sämtliche Kunden aus nicht in der Auflistung erwähnten Ländern betroffen.
vpn Mentor kontaktierte Orvibo nach Auffinden des Leaks erstmals am 16. Juni 2019 per E-Mail. Wider Erwarten reagierte der Anbieter mehrere Tage lang nicht. Auch auf den nachfolgenden Hinweis über den Kurznachrichtendienst Twitter reagierte Orvibo zunächst nicht. Erst am 02. Juli 2019 – über 2 Wochen nach Veröffentlichung des Leaks – war die Datenbank nicht mehr zu erreichen.
Das Unternehmen verkauft ein Portfolio von über 100 sensiblen Lösungen für Energie- und Sicherheitstechnik, Beleuchtungstechnik, Wohnraum-Freizeitgeräte und Klimatisierunglösungen. Orvibo Produkte kommen in Privatäusern, an Arbeitsplätzen und auch Hotel und Gaststätten zum Einsatz.
Neben den einleitenden schon erwähnten Informationen finden sich in der Orvibo Datenbank auch viele weitere Käuferinformationen: Neben E-Mail-Adressen, Passwörter, Geolokalisierung der Nutzer, auch Gesprächsdaten, die mit sensiblen Kameras aufgezeichnet wurden, sowie Benutzernamen und IDs, IP-Adressen, Konto-Reset-Codes, Systemnamen. Darüber hinaus waren auch Logindaten von Gadgets, die auf Konten, Zeitpläne und Haushaltsnamen und IDs zugreifen, in der Datenbank hinterlegt.
Orvibo verstößt in so großem Umfang gegen u.a. die Datenschutz-Grundverordnung der EU – rechtliche Maßnahmen dürften nicht lange auf sich warten lassen. Die jedoch werden aktuell betroffenen Nutzern, deren Daten möglicherweise durch das Leak in die Hände Dritter geraten sein könnten, wenig.
Wer kürzlich ein Produkt von Orvino oder Zipato erworben – oder ein IoT Gerät anderer Hersteller in Betrieb genommen hat und sich unsicher ist, ob das Gerät ausreichend geschützt ist, dem seien erneut die einfachsten Maßnahmen zur Erhöhung der Sicherheit an Herz gelegt:
- Aktualisieren Sie die Firmware der Geräte.
- Sichern Sie alle Zugänge/Logins mit neuen Passwörtern.
- Deaktivieren Sie ungenutzte Zugänge (z.B. Gäste-Accounts).
- Deaktivieren Sie ungenutzte Protokolle (Telnet, FTP…).
- Halten Sie ihr Betriebssystem aktuell.
- Verwenden Sie einen Viren- und Malware-Scanner.
Gründsätzlich empfiehlt es sich auch, vor einer Neuanschaffung darüber nachzudenken, ob es ein Gerät/eine Dienstleistung von einem preiswerten, unbekannten Anbieter aus Fernost sein muss – oder ob die Investition in Produkte und Dienstleistungen renommierter Anbieter und Hersteller nicht doch der bessere Schritt wäre.