Datenleck: Smart-Home-Datenbank mit 2 Milliarden Einträgen im Internet

Das chinesische Unternehmen Orvibo stellt von Designer-Steckdosen bis hin zu Sicherheitssystemen mit IP-Videokameras über hundert Smart-Home-Geräte her. Mit der Sicherheit nimmt es das Unternehmen allerdings selbst nicht so genau: Die Sicherheitsforscher Noam Rotem und Ran Locar entdeckten laut dem Magazin Forbes eine ungeschützte Datenbank mit zwei Milliarden Einträgen im Internet. Darin waren massenhaft persönliche Daten von Orvibos Kunden zu finden - und der Zugang zu Millionen Smart-Home-Geräten.

Die Sicherheitsforscher konnten ohne jeglichen Passwortschutz auf die Elasticsearch-Datenbank zugreifen. Diese enthielt neben E-Mail-Adressen, Nutzernamen und Passwörten auch die Account-Reset-Codes. Die Passwörter und Reset-Codes lagen zwar nur gehasht vor, allerdings wurde das alte Verfahren MD5 verwendet, das leicht umgangen werden kann. Angreifer hätten mit den Daten problemlos die Kundenkonten übernehmen und die Kunden durch eine Änderung der Daten dauerhaft aussperren können.

Mit dem Kontozugang hätten Angreifer auch auf die hinterlegten Smart-Home-Geräte zugreifen können, darunter die Bilder von Überwachungskameras, schreiben die Sicherheitsforscher. Auch hätten sich Orvibos smarte Türschlüsser öffnen lassen. Die Datenbank lieferte zudem die genauen Standortdaten des Gerätes sowie den Familiennamen des Nutzers, was einen Einbruch deutlich erleichtert hätte. "Mit den durchgesickerten Informationen ist klar, dass an diesen Geräten nichts sicher ist. Wurde eines der Geräte installiert, wird die physische Sicherheit untergraben, statt sie zu erhöhen", sagen die Sicherheitsforscher.

100 Millionen Kunden

Laut eigenen Angaben hat Orvibo 100 Millionen Kunden auf der ganzen Welt. Die Sicherheitsforscher fanden in der Datenbank Nutzer aus Großbritannien, Frankreich, China, Japan, USA und anderen Staaten. Orvibo hat auch smarte Türschlösser und Überwachungskameras im Angebot.

Die Sicherheitsforscher hatten Orvibo am 16. Juni wegen des Sicherheitsvorfalles kontaktiert und keine Antwort erhalten. Erst zwei Tage nach der Veröffentlichung des Vorfalles reagierte das Unternehmen. Die Datenbank ist seitdem nicht mehr zu erreichen. Wie lange die Datenbank öffentlich zugänglich war und ob sie in dieser Zeit von Kriminellen entdeckt wurde, ist unbekannt.

Sicherheitslücken in Smart-Home-Geräten sind keine Seltenheit. Erst kürzlich zeigten Sicherheitsforscher, wie einfach sich ein smartes Türschloss knacken lässt. Zuvor hat die Google-Tochter Nest eine Sicherheitslücke geschlossen, durch welche die ursprünglichen Eigentümer nach dem Verkauf einer Nest-Überwachungskamera weiterhin auf die Bilder der Kamera zugreifen konnten. Auf dem Chaos Communication Congress zeigte ein Sicherheitsforscher, wie leicht eine smarte Lampe zu einem Trojaner werden kann.