近日，网络安全研究人员发现了一个未受保护的物联网（IoT）数据库，其中包含27亿条敏感用户数据，包括Wi-Fi网络名称、密码、IP地址和设备标识符。此次数据泄露事件涉及中国植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED。

研究人员Jeremiah Fowler发现，这个总计1.17TB的数据库没有任何密码保护或加密措施，且公开可访问。它包含了全球销售的物联网设备的日志、监控记录和错误报告，其中详细记录了Wi-Fi SSID（网络名称）和明文密码、IP地址、设备ID、MAC地址以及操作系统详细信息（iOS/Android）等。

调查发现，这些数据与LG-LED SOLUTIONS LIMITED有关，且可能涉及Mars Hydro的Mars Pro应用程序。该应用用于控制物联网生长灯和气候系统，尽管其隐私政策声称不收集用户数据，但实际却收集了大量敏感信息。此外，数据中还包含API令牌、应用版本以及标有“Mars-pro-iot-error”或“SF-iot-error”的错误日志。

Fowler在发现漏洞后迅速通知了相关公司，几小时内数据库的访问权限被限制。然而，目前仍不清楚LG-LED SOLUTIONS是否直接管理该数据库，或是使用了第三方承包商。数据库曝光的具体时长以及是否有未经授权的访问也不得而知。

此次数据泄露带来了严重的安全风险。攻击者可以利用暴露的Wi-Fi凭证访问家庭或企业网络，实施中间人攻击、数据拦截或勒索软件部署。此外，受感染的物联网设备可能被劫持用于DDoS攻击，甚至恶意行为者可能操纵连接的生长灯、风扇或冷却系统，从而破坏农作物。

Palo Alto Networks的威胁报告显示，98%的物联网设备数据未加密，57%的设备高度脆弱。此次事件反映了物联网安全中的系统性缺陷，如弱加密、默认密码未更改以及集中化云存储风险等。

专家建议物联网制造商和用户采取以下措施：加密敏感日志，用令牌化值替换明文凭证；分割网络，将物联网设备与关键系统隔离；定期进行审计和渗透测试。

目前，Mars Hydro和LG-LED SOLUTIONS尚未就此次泄露事件的起源或可能的第三方参与发表评论。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

[注意]看雪招聘，专注安全领域的专业人才平台！