El investigador de seguridad Jeremiah Fowler ha dado cuenta a vpnMentor de la existencia de una base de datos sin contraseña ni protección de ningún tipo que contenía 2.7 millones de registros, con un tamaño total de 1,17 TB.
La base pertenecía a Mars Hydro, una compañía china que ofrece gadgets de Internet de las Cosas (principalmente luces de cultivo) y aplicaciones de software que permiten a usuarios de todo el mundo controlar dispositivos, temporizadores y configuraciones de manera remota. La firma fabrica productos en Shenzen y tiene almacenes en Reino Unido, EE.UU. y Australia.
Fowler llevó a cabo una investigación más profunda, descubriendo que los registros pertenecían a una empresa registrada en California llamada LG-LED SOLUTIONS LIMITED.
El investigador envió un aviso de divulgación responsable a ambas compañías y estas blindaron la base de datos en pocas horas, dejando de estar accesible para el público.
Se desconoce cuánto tiempo estuvo expuesta antes del hallazgo o si alguien más entró en ella.
Datos comprometidos
El análisis de la muestra reveló más de 100 millones de registros en 13 carpetas, que incluían no solo nombres de redes WiFi, sino también sus contraseñas correspondientes, junto con direcciones IP e identificadores únicos de dispositivos.
Curiosamente, los datos también parecían vincularse a los dispositivos de control, como los teléfonos inteligentes, utilizados para administrar estos productos de IoT, revelando información sobre los sistemas operativos (por ejemplo, iOS y Android).
Fowler encontró igualmente registros de errores que contenían información potencialmente confidencial, incluyendo tokens, versiones de apps, tipos de dispositivos y direcciones IP, además de credenciales WiFi.
Mars Hydro cuenta con una aplicación móvil oficial llamada Mars Pro para iOS y Android que supuestamente no recopila datos de los usuarios, por lo que no está muy claro cómo los registros contienen detalles de conectividad y credenciales.
El investigador especula con que podrían ser capturados y registrados por los dispositivos IoT una vez que se conectan a la red local del usuario.