Cyberthreat.id – Orvibo, perusahaan platform manajemen rumah pintar (smart home) asal China, mengalami pelanggaran data pelanggan, termasuk kata sandi perangkat yang terbuka secara online di internet.

Data tersebut terekspose melalui server Elasticsearch, mesin pencari berdasarkan Lucene library.

Server milik Orvibo menjalankan platform SmartMate untuk mengelola peralatan pintar di rumah pintar modern. Platform ini mendukung interkoneksi dan mengendalikan berbagai produk pintar buatan Orvibo, seperti kamera keamanan, bola lampu pintar, thermostat, sistem HVAC, sistem hiburan rumah, colokan listrik cerdas (smart power plugs), smart window curtain systems, smart door locks, dan lain-lain.

Menurut ZDNet, Minggu (5 Januari 2020), kebocoran data tersebut diduga berlangsung selama lebih dari dua pekan. “Perusahaan itu tampaknya salah mengonfigurasi salah satu server backend-nya dan ditinggalkan dalam kondisi terhubung ke internet tanpa kata sandi,” tulis ZDNet.

Basis data ditemukan pada pertengahan Juni oleh tim keamanan di vpnMentor yang dipimpin oleh peneliti keamanan Noam Rotem dan Ran Locar.

Selama dua pekan terakhir, baik vpnMentor dan ZDNet telah menghubungi perusahaan China untuk memberitahu mereka tentang keamanannya. Namun, Orvibo belum juga merespons atau mengambil tindakan apa pun.

Menurut laporan vpnMentor, dalam dua pekan terakhir, basis data tersebut tampaknya telah memutar setidaknya dua miliar entri log, dengan setiap entri berisi data tentang pelanggan Smartviate Orvibo.

Data untuk setiap entri log bervariasi tergantung pada operasi yang sedang dicatat, seperti log-in, pengaturan ulang kata sandi, device heartbeat, log-out, dan lainnya.

Informasi yang dapat ditemukan dalam data terbuka tersebut, seperti alamat email pelanggan Orvibo, alamat IP perangkat yang memeriksa, nama pengguna Orvibo, dan kata sandi.

Dalam beberapa kasus, ada juga informasi geolokasi yang tepat, nama keluarga pelanggan, nama perangkat, dan informasi tentang operasi terjadwal perangkat (seperti menyalakan lampu pada jam tertentu atau peringatan rumah di antara interval tertentu).

Semua entri yang dianalisis dalam bahasa China, tetapi peneliti vpnMentor mengatakan mereka juga melihat entri log untuk pengguna di Jepang, Thailand, AS, Inggris, Meksiko, Prancis, Australia, dan Brasil.

Fakta yang paling mengkhawatirkan adalah bahwa perusahaan mencatat kata sandi dan kode pengaturan ulang kata sandi.

"Orvibo memang berusaha menyembunyikan password, yang dienkripsi (hash) menggunakan MD5, tapi tanpa tekniksalt ," kata tim vpnMentor.

Kata sandi MD5 tanpa salt relatif mudah untuk diretas. Ini berarti siapa pun yang memiliki akses ke database ini dapat membajak akun SmartMate dan mungkin mengendalikan perangkat cerdas pengguna.

"Dengan kode ini dapat diakses dalam data, Anda dapat dengan mudah mengunci pengguna dari akun mereka, karena Anda tidak perlu akses ke email mereka untuk mengatur ulang kata sandi," kata tim vpnMentor.

Kelompok kriminal dapat mengatur perampokan ketika pemilik rumah pergi, atau mereka dapat menyabotase atau mempermainkan pemilik rumah, misalnya, dengan melonjaknya kondisi ruangan yang tiba-tiba panas.