物联网安全警钟再响：27亿条数据泄露，98%设备未加密

近日，一起震惊全球的物联网（IoT）安全事件曝光——27亿条涉及用户敏感信息的物联网数据泄露。此次事件不仅暴露了物联网设备在安全防护上的巨大漏洞，也再次敲响了全球物联网安全的警钟。

事件详情：未受保护的数据库暴露海量敏感信息

网络安全研究员Jeremiah Fowler报告了与中国物联网植物生长灯公司Mars Hydro和加州注册公司LG-LED Solutions相关的未受保护的数据库。Fowler向vpnMentor披露了这一发现。

由于Mars Hydro的数据库没有密码保护，27亿条涉及用户敏感信息的物联网数据泄露。

据悉，该数据库包含1.17 TB未受保护的数据，包含13个文件夹，每个文件夹包含超过1亿条记录。

包括但不限于：

1.Wi-Fi SSID（网络名称）及明文密码；

2.IP地址、设备ID、MAC地址及操作系统信息；

3.API令牌、应用程序版本以及标有“Mars-pro-iot-error”或“SF-iot-error”错误日志。

据了解，这些数据可能属于Mars Hydro的“Mars Pro”应用程序的用户，该应用程序可在iOS和Android上使用。尽管Mars Hydro在信息泄露后迅速限制了访问权限，但关于泄露持续时间以及未经授权的实体是否访问了这些数据仍存在疑问。

此外，“Mars Pro”应用程序的隐私政策明确表示“不收集用户数据”，但此次数据泄露却表明该应用仍在记录并存储用户敏感信息。

物联网设备：安全短板成为网络攻击突破口

这一事件暴露的不仅是厂商对数据保护的疏忽，更反映出当前物联网设备普遍存在的安全短板。

正如Palo Alto Networks Unit 42此前发布的物联网威胁报告指出：

57%的设备存在高危漏洞，极易成为黑客攻击目标；

98%的物联网设备数据未加密，攻击者可轻松窃取和操纵设备信息；

83%的联网设备运行不受支持的操作系统。

此次事件带来的安全隐患极其严重，可能导致以下风险：

网络渗透攻击：攻击者可利用泄露的Wi-Fi凭证直接入侵家庭或企业网络，进行数据拦截、窃听甚至远程控制设备。

僵尸网络攻击：受感染的物联网设备可能被黑客劫持，加入DDoS攻击网络，如近期Matrix黑客组织的攻击事件。（诺基亚最近报告称，在过去18个月中，参与僵尸网络驱动的DDoS攻击的物联网设备增加了500%，目前占所有DDoS流量的40%。）

物理安全威胁：黑客可远程操纵智能生长灯、风扇、冷却系统等物联网设备，从而破坏农业生产或工业控制系统。

例如“nearest neighbor”攻击，网络犯罪分子就劫持了附近的Wi-Fi网络。

Jeremiah Fowler表示：“据报道，2024年11月，来自GRU 26165部队（也称为APT28或Fancy Bear）的俄罗斯军事黑客使用[…]‘nearest neighbor’攻击了总部位于华盛顿特区的一个专注于支持乌克兰的组织。黑客入侵了附近组织的网络，该网络刚好在目标的Wi-Fi覆盖范围内，然后就获得了对受害者网络的访问权。”

这起大规模泄露事件也暴露了物联网行业长期存在的安全漏洞：

加密机制薄弱：许多设备仍依赖WPA2这类过时协议，容易受到暴力破解攻击。

默认密码问题：大量物联网设备出厂即配备通用默认密码，用户未修改便直接使用，导致设备易受攻击。

云存储风险：大量敏感数据被存储在未受保护的服务器上，形成严重的单点故障风险。

为降低风险，管理员应首先更改所有默认密码，避免因共享默认密码而被黑客轻易入侵。同时，为每台设备设置强大且独特的密码。

此外，及时更新软件至关重要，定期安装补丁可有效防止零日漏洞利用。

最后，保持警惕。通过密切监控可疑行为、分段网络并整合端点管理，可以显著提升安全性，降低攻击风险。

结语

物联网安全已从理论风险变为现实威胁，从家庭Wi-Fi摄像头、智能门锁，到企业工控系统、医疗设备，任何一个未受保护的设备都可能成为网络攻击的突破口。

此次事件再次提醒全球物联网厂商：安全不能仅仅是一个“可选项”，而应成为产品设计和开发的核心考量。

在前不久，白宫也正式启动了“美国网络信任标签”计划（点击查看详情），随着物联网设备的数量持续增长，企业和消费者都需要更高标准的安全保障。

对制造商而言，这不仅是合规压力，更是提升品牌信誉的机会。对于用户而言，选择经过安全认证的设备，将成为保护个人隐私和数据安全的必要措施。

总言之，无论是制造商、企业用户还是个人消费者，都应高度关注物联网安全，共同推动更安全、更可信的智联未来。

来源｜Techradar

图源｜Techradar

编辑｜公钥密码开放社区

免责声明

1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。