无保护数据库泄露 IoT 设备敏感数据

网络安全研究员 Jeremiah Fowler 发现了一家专门生产 IoT 智能种植灯 和农业软件的公司 Mars Hydro 所拥有的 一个未受保护的数据库。

根据 Fowler 为 vpnMentor 撰写的 博客文章，这份数据库泄露了 全球范围内物联网设备的日志、监控和错误记录，其中包含：

✅ Wi-Fi 网络名称（SSID）
✅ Wi-Fi 密码
✅ IP 地址
✅ 设备 ID
✅ 电子邮件地址
✅ 智能手机操作系统信息（iOS/Android）
✅ API 详细信息和日志

通过样本分析，研究人员发现数据库包含 13 个文件夹，总计超过 1 亿条记录。这些数据不仅涉及 种植灯设备，还可能与用于控制这些设备的 智能手机 相关，暴露了用户端信息。

数据与 LG-LED SOLUTIONS 及多家 IoT 设备厂商有关

进一步调查显示，该数据库与 LG-LED SOLUTIONS LIMITED（加州注册公司）存在关联。此外，数据还涉及以下企业：

🔹 Mars Hydro（总部：深圳，中国，主要生产 LED 种植灯）
🔹 Spider Farmer（生产农业种植灯、风扇和冷却系统）
🔹 LG-LED SOLUTIONS（相关 API 和 URL 存在于数据库中）

在数据库中，多个文件夹被标记为 “Mars-pro-iot-error” 或 “SF-iot-error”，表明这些数据可能直接与 Mars Hydro 和 Spider Farmer 产品线相关。

此外，Fowler 还发现 错误日志（error logs） 记录了：

🔹 API 访问令牌（Tokens）
🔹 应用程序版本信息
🔹 设备类型
🔹 IP 地址

这些数据如果被恶意利用，可能导致用户 Wi-Fi 网络被入侵、物联网设备被远程控制，甚至成为 DDoS 僵尸网络的一部分。

厂商回应：数据库已加固，但责任归属不明

Fowler 发现该数据泄露后，立即通知 LG-LED SOLUTIONS 和 Mars Hydro，最终该数据库在数小时内被安全加固。

🔹 Mars Hydro 确认：其官方 “Mars Pro” 应用确实属于该公司。
🔹 但仍存在疑问：该数据库是否由 LG-LED 直接管理，或是由第三方供应商维护？
🔹 尚不清楚数据暴露的时长，以及是否有黑客已访问这些敏感信息。

Fowler 指出，需要进行完整的取证审计，以确定数据是否已被滥用。

⚠️ 数据泄露的影响：黑客可利用 IoT 设备进行攻击

🔹 黑客可利用 Wi-Fi 密码和 IP 地址，直接侵入用户家庭或企业网络。
🔹 远程控制 IoT 设备，进行 DDoS 攻击（分布式拒绝服务攻击）。
🔹 物联网设备可能被用于“中间人攻击”，窃取用户通信数据。

目前，Matrix 黑客组织 就正在利用被入侵的 IoT 设备 构建大规模 DDoS 僵尸网络，这次泄露的数据可能进一步助长此类攻击。

此外，研究表明 57% 的 IoT 设备存在高危漏洞，而 98.3% 的数据在传输时未加密，进一步加剧了数据泄露的风险。

🔴 IoT 设备制造商应采取的安全措施：

✅ 避免使用明文日志记录用户信息
✅ 采用加密存储 Wi-Fi 密码和 API Key
✅ 定期进行安全审计和渗透测试
✅ 加强物联网云存储安全，防止数据暴露

结论：物联网设备安全问题不容忽视

🔹 1.17TB 数据泄露，暴露数十亿条 Wi-Fi 密码、IP、设备 ID 信息。
🔹 IoT 设备制造商安全防护薄弱，可能导致黑客远程入侵、DDoS 攻击。
🔹 数据库已加固，但暴露时长未知，仍需进行取证调查。

物联网设备越来越普及，但安全漏洞也随之增加。如果不采取更强的加密和安全措施，类似的数据泄露事件可能会频繁发生，甚至造成更严重的网络攻击。

🚨 你是否担心家中的智能设备安全？欢迎留言讨论！