近日，一場規模巨大的物聯網（IoT）安全漏洞事件曝光了27億條包含敏感用戶數據的信息，其中包括Wi-Fi網絡名稱、密碼、IP地址和設備標識符。此次事件與中國植物生長燈制造商Mars Hydro以及加州注冊公司LG-LED SOLUTIONS LIMITED有關。

網絡安全研究人員Jeremiah Fowler發現了這個未受保護的數據庫，并向vpnMentor進行了報告。這一事件凸顯了物聯網設備安全和云存儲實踐中的嚴重漏洞。

這個公開可訪問的數據庫總計1.17TB，沒有任何密碼保護或加密措施。它包含了全球售出的物聯網設備的日志、監控記錄和錯誤報告，具體內容包括：

泄露的詳細信息（來源：VPNMentor）

• Wi-Fi SSID（網絡名稱）和明文密碼。
• IP地址、設備ID、MAC地址和操作系統詳細信息（iOS/Android）。
• API令牌、應用程序版本以及標有“Mars-pro-iot-error”或“SF-iot-error”的錯誤日志。

Wi-Fi密碼（來源：VPNMentor）

事件背景與調查

Mars Hydro的Mars Pro應用程序用于控制物聯網生長燈和氣候系統，盡管其隱私政策聲稱不收集用戶數據，但據報道，該應用程序仍然收集了這些數據。

進一步的調查發現，這些記錄與加州注冊公司LG-LED SOLUTIONS LIMITED有關。泄露的數據還包括API詳細信息以及LG-LED SOLUTIONS、Mars Hydro和Spider Farmer公司的URL鏈接，這些公司生產和銷售農業生長燈、風扇和冷卻系統。

許多記錄標有“Mars-pro-iot-error”或“SF-iot-error”，其中包含令牌、應用版本、設備類型和IP地址以及SSID憑證。

Fowler迅速通知了LG-LED SOLUTIONS和Mars Hydro，幾小時后，數據庫的訪問權限被限制。Mars Hydro確認，“Mars Pro”應用程序是他們的官方產品，該應用在iOS和Android平臺上支持多種語言。

然而，目前尚不清楚LG-LED SOLUTIONS是否直接管理該數據庫，或者是否使用了第三方承包商。數據庫曝光的時間長度以及是否有未經授權的方訪問過它也不得而知。

安全風險與影響

泄露的數據帶來了嚴重的風險：

• 網絡滲透：攻擊者可以利用暴露的Wi-Fi憑證訪問家庭或企業網絡，從而實施中間人攻擊、數據攔截或勒索軟件部署。
• 僵尸網絡招募：受感染的物聯網設備可能被劫持用于DDoS攻擊，正如最近涉及Matrix黑客組織的事件所示。
• 物理威脅：惡意行為者可能操縱連接的生長燈、風扇或冷卻系統，從而可能破壞農作物。

Fowler特別強調了“最近鄰攻擊”這種戰術的可能性，這是俄羅斯GRU黑客在2024年通過附近Wi-Fi網絡入侵一家烏克蘭組織的策略。

Palo Alto Networks的威脅報告為此提供了背景：98%的物聯網設備數據未加密，57%的設備高度脆弱。

此次事件反映了物聯網安全中的系統性缺陷：

• 弱加密：許多設備依賴如WPA2等過時的協議，這些協議容易受到暴力破解攻擊。
• 默認密碼：用戶往往未能更改出廠設置，導致設備暴露在風險中。
• 集中化云存儲風險：在未受保護的服務器上存儲大量數據，創造了單點故障。

值得注意的是，研究人員猜測此次泄露可能涉及2019年由中國智能設備品牌Orvibo暴露的同一數據庫。

專家們敦促物聯網制造商和用戶采取以下措施：

• 加密敏感日志，并用令牌化值替換明文憑證。
• 分割網絡，將物聯網設備與關鍵系統隔離。
• 進行定期審計和滲透測試。

Mars Hydro和LG-LED SOLUTIONS尚未就此次泄露事件的起源或可能的第三方參與發表評論。Fowler強調，他的發現旨在“提高人們的意識”，目前沒有證據表明存在直接濫用行為。