Интелигентните вани с джакузи оставиха лична информация открита

Интелигентни горещи вани – да, това е нещо! – са най-новото място в мрежата за киберсигурност.

Базираният във Флорида изследовател по киберсигурност Eaton Zveare беше първият, който документира проблема с Internet of Tubs на своя личен блог, след като той се изправи лице в лице с недостатъка, докато настройва интернет-функционалността на собствена вана с марка джакузи. Това, което той бързо открива, е, че тези интелигентни функции също могат да дадат на лоши актьори достъп до личните му данни – и данните на много други почитатели на SmartTub.

Ежедневните ни устройства стават все по-умни и по-умни, но когато нещо е свързано с интернет, следват глупави пропуски в сигурността. Виждали сме саксии за кафе изложени на ransomwareчастни емисии от бебефони изтичане онлайнили нещо на Интернет на лайна Twitter канал. Най-новото попълнение на позорния пантеон: Джакузи SmartTub (и куп други).

Да, буквално се нарича целият смарт апарат на джакузито SmartTub. Като почти всяка друга IoT услуга, SmartTub е създаден за удобство: позволява на собствениците да се свързват към своите вани със свързано приложение за Android или iOS, а това приложение от своя страна информира тези собственици за всякакви прекъсвания на захранването или системни проблеми, като същевременно позволявайки им да променят температурата и струите във ваната си от комфорта на ръчното си устройство. Очевидно функцията е достатъчно популярна, че има над 10 000 изтегляния за приложението SmartTub в Google Play Store сам.

Но когато Когато Zveare за първи път се опита да настрои собствен акаунт уебсайтът свързан с приложението за вана, той забеляза нещо странно; на екрана му се появи съобщение, което му казваше, че е „неупълномощен“ за достъп до този сайт. Точно преди това известие да се появи обаче, изследователят видя кратък поглед върху административния панел, пълен с лични данни от други собственици на вани, които използваха приложението. Те включват клиенти на джакузи като него, но също и от хора с други интелигентни вани под марката Jacuzzi, като Sundance Spa, D1 Spas и ThermoSpas.

Според Звеаре това е бил истински момент „мигване и ще го пропуснеш“. „Трябваше да използвам екранен рекордер, за да го заснема“, пише той.

Екранна снимка: Eaton Zveare

Като потребител, който се грижи за сигурността, първият отговор на Zveare беше да опита и развалят сайта широко. И той го направи (с това, което изглежда като относителна лекота), като използва инструмент, наречен Цигулар да настрои своя уеб трафик и да убеди TubSite, че всъщност е администратор. И тъй като интелигентната технология отново често е доста пореста, тази уловка проработи: Zveare получи достъп до целия административен панел, който включва имената и имейл адресите на собствениците на Tub по целия свят.

„След като влязох в административния панел, количеството данни, което ми беше позволено да бъде зашеметяващо. Можех да видя подробностите за всеки спа център, да видя собственика му и дори да премахна собствеността им “, написа той. „Би било тривиално да създадете скрипт за изтегляне на цялата потребителска информация. Възможно е вече да е направено.”

Потърсихме джакузи за коментар. Звеаре го направи също – многократно, според неговия блог: първо, когато открива недостатъците през декември миналата година, след това отново през януари, след това отново през цялата година. В отговор джакузито се редува между потвърждаване на имейлите (но без по-нататъшни действия) и пълно игнориране, според преразказа на Zveare. В крайна сметка той се обърна към представител по сигурността от компания, наречена Auth0, която отговаряше за системите за влизане, които Джакузи използваше. Тази компания успя да затвори един уязвим панел, но поради каменната стена на джакузито имаше още един открит, пише Zveare.

В крайна сметка обаче Zveare реши да „провери [that panel] произволно ”в подготовка за написването на цялата тази игра в неговия блог. И в крайна сметка изглежда като джакузи Направих затегнете останалия панел, просто без да казвате на човека, който го е открил.

Дали джакузито някога ще признае този провал с данни? От досегашния му опит не бихме предположили. Това каза, марката джакузи е базиран извън Калифорния и този щат има действащи закони стандарти за сигурност за IoT устройства както и закони, задължаващи жителите на държавата бъдете уведомени когато личната им информация е била нарушена.