不好好设密码 你有可能被跨国追踪

与那些被熟练的黑客攻击并监控你在房间里秘密谈论的事件的智能扬声器相比，下面的“事故”传播范围要广得多。。。

据外国媒体报道，中国智能家居解决方案提供商Orvibo拥有的一个可公开访问的弹性搜索数据库泄露了超过20亿个用户日志，包括来自世界各地客户的敏感数据。

这些数据有多敏感？

抱歉，用户名、电子邮件地址和密码无疑被泄露了。更何况，雷锋学到了以下几点:

电子邮件地址

密码

帐户重置代码

准确的用户地理位置

ip地址

用户名和用户标识

姓氏和家庭身份证

访问帐户的设备的名称和设备

智能摄像头记录的对话

旅行信息

泄漏样品

该公司的业务范围相当广泛。根据公共信息，Orvibo为其客户提供智能解决方案，通过提供智能系统进行“安全”和能源管理，以及使用智能家居云平台进行远程控制和数据记录/分析，帮助他们管理自己的房屋、办公室和酒店房间。因此，该公司推出了三种方案:智能家居、智能办公室和智能酒店，并成功地将该项目推向全球。

这说明了一些事情:不仅仅是家庭信息，巧合的是，网络另一边的眼睛甚至可能知道这些“泄露”的用户在哪里工作，他们出差住在什么酒店，甚至“跨境”追踪也是无障碍的。

雷锋注意到，6月16日，发现数据库“小秘密”的虚拟门户研究团队联系了奥维博，但7月2日，数据库仍然在线。研究人员还说:“只要数据库保持开放，可用的数据量每天都在增加。”包括中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西在内的用户都受到了数据泄露的影响。

你认为这只是信息泄露吗？

不，仍然有许多潜在的风险。

从数据库中泄露的帐户重置代码可能允许潜在的攻击者锁定Orvibo用户的帐户，而在此过程中不使用用户的密码。

通过更改密码和电子邮件地址，该帐户可能无法恢复，黑客可以“完全控制他们的智能家庭设备”如何控制它？例如，在几分钟内观看直播-对于向Orvibo智能家庭管理帐户添加安全摄像头的用户，只要在用户帐户和数据库中输入凭据，他们就可以轻松访问智能摄像头提供的视频信息。

找到用户的精确位置信息并撬开他的智能门锁并不难。毕竟，控制权已经到位！

当数据库权限设置不好，但“无辜”用户实际上付出了代价时，就会发生这种情况。甚至弹性NV也不能再看了。根据其5月20日的声明，弹性堆栈的核心安全功能已经免费。这意味着用户现在可以加密网络流量，创建和管理用户，并定义保护索引和集群级访问的角色。

弹性NV还敦促管理员通过“加密通信、基于角色的访问控制、IP过滤和审核”来保护弹性搜索堆栈，为其服务器的内置用户配置密码，并在部署前正确配置数据库。

雷锋网络发现有太多的悲剧数据泄漏，因为没有密码的公众访问，由于不良的数据库配置。

6月初，芝加哥大学医学院超过160万潜在和现有捐赠者的个人信息被一台配置不当且未受保护的弹性搜索服务器暴露在互联网上。

同样在6月初，中国猎头公司FMC Consulting旗下的弹性搜索集群配置不当，导致数百万份简历、公司记录、客户和员工数据被公开访问和披露。

今年5月，一个未受保护的弹性搜索集群公布了3427396条记录，其中包括*公民被标记为“病人”的敏感个人信息和468806条被标记为“测试病人”的记录

虽然保护敏感信息不被公众访问是一种常见的安全知识，但弹性搜索服务器的错误配置仍然经常发生。说实话，弹性搜索的开发者们摊开双手，只是没有说，“请你自己注意一下。”

这篇文章发表后，奥维博告诉雷·feng.com说，副总裁于6月16日向奥维博发送了报告，但由于邮件系统的过滤，他们在7月2日才得知报告的内容，并采取了以下解决方案:

1.安全漏洞已经解决。

2.密码加密机制的升级。

3.升级用户帐户保护和密码重置。

4.加强与专业网络安全公司的合作，提高系统安全性。

7月3日，副总裁批准了公司的维修结果。

抱歉，设置密码不好。你真的可以为所欲为。