Πάνω από 28 εκατομμύρια εκτεθειμένα αρχεία σε μη ασφαλή βάση δεδομένων της WHIRLPOOL

Ο ερευνητής ασφάλειας Bob Diachenko πρόσφατα παρατήρησε ένα ασυνήθιστο είδος πληροφοριών σε μία διαθέσιμη στο κοινό υπηρεσία παρακολούθησης, την “Heartbeat”. Στην ιστοσελίδα της Heartbeat εμφανίζονταν διαγράμματα, τα οποία μεταξύ άλλων απεικόνιζαν στοιχεία χρηστών οικιακών συσκευών, όπως τις ώρες κατά τις οποίες οι συσκευές είναι συνδεδεμένες στο διαδίκτυο.

Μετά από περαιτέρω επιθεώρηση, ο Bob Diachenko κατέληξε στο συμπέρασμα ότι τα δεδομένα αυτά ανήκαν σε άτομα που διέθεταν συσκευές της γνωστής Εταιρείας Whirlpool και η συγκεκριμένη βάση δεδομένων φιλοξενούσε πλήρεις αναφορές σάρωσης των συσκευών της. Επιπρόσθετα, η βάση δεδομένων της Whirlpool διέθετε την ίδια διεύθυνση IP όπου φιλοξενούταν για παράδειγμα η Heartbeat.

Όπως έγινε φανερό πολύ γρήγορα, αυτή η βάση δεδομένων λάμβανε νέες καταχωρήσεις κάθε ώρα. Κάτι τέτοιο αποκάλυψε πως η Whirlpool σαρώνει τις συσκευές της σε πολύ συχνά χρονικά διαστήματα, ελέγχοντας πότε αυτές συνδέονται στο διαδίκτυο. Σε περίπτωση που είναι όντως συνδεδεμένες στο διαδίκτυο, η Whirlpool συγκεντρώνει τα αναγνωριστικά τους, το όνομα και τον αριθμό του μοντέλου, διάφορα άλλα χαρακτηριστικά καθώς και τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη της. Η εκτεθειμένη βάση δεδομένων περιείχε περισσότερα από 28,1 εκατομμύρια αρχεία.

Μολονότι η απώλεια της διεύθυνσης ηλεκτρονικού ταχυδρομείου του χρήστη δεν είναι άκρως καταστροφική, συνιστά παραβίαση προσωπικών δεδομένων, ενώ η συσχέτιση των πληροφοριών αυτών με άλλα δεδομένα μπορεί να οδηγήσει σε κακόβουλες ενέργειες“phishing” και σε κάθε άλλου είδους μορφές στοχευμένης εξαπάτησης. Επιπλέον, η σάρωση μιας συσκευής κάθε μία ώρα, αποτελεί κάτι περισσότερο από μία απλή πρακτική, ακόμα κι αν πραγματοποιείται καλοπροαίρετα.

Ο ερευνητής ενημέρωσε άμεσα την Whirlpool, η οποία κατέβασε την βάση δεδομένων και την σχετική υπηρεσία την επόμενη ημέρα. Η επίσημη δήλωσή της ήρθε λίγες ημέρες αργότερα και ήταν η εξής:

“Η Εταιρεία μας ενημερώθηκε πρόσφατα για πιθανές ανησυχίες ασφαλείας σε σχέση με μία από τις βάσεις δεδομένων της. Η βάση δεδομένων κατέβηκε αμέσως και με ασφάλεια. Από την έρευνά μας προέκυψε ότι 48.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου ήταν διαθέσιμες στο κοινό, ωστόσο δεν αποκαλύφθηκαν εμπιστευτικές πληροφορίες. Βρισκόμαστε στη διαδικασία προσέγγισης των καταναλωτών που επηρεάστηκαν. Η εταιρεία μας εξέφρασε την ικανοποίησή της για αυτήν την ειδοποίηση, προκειμένου το ζήτημα να μπορέσει εγκαίρως να αντιμετωπιστεί.”

Το γεγονός ότι 28,1 εκατομμύρια εγγραφές που βρέθηκαν στην βάση δεδομένων αντιστοιχούσαν μόνο σε 48.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου επιδέχεται αμφιβολία και παραμένει στην κρίση του εκάστοτε καταναλωτή να το δεχτεί. Ωστόσο, οτιδήποτε συνδέεται με το διαδίκτυο ενέχει σχεδόν πάντοτε κίνδυνο για την προστασία της ιδιωτικότητας και της ασφάλειας των χρηστών και η εν λόγω περίπτωση των πλυντηρίων πιάτων και των ψυγείων που ενημερώνουν κάθε μία ώρα την Whirlpool για την δραστηριότητα του χρήστη τους, λειτουργεί σαν ένα υπέροχο παράδειγμα των κινδύνων που ελλοχεύουν κατά την χρήση των σημερινών έξυπνων συσκευών.

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top