Компании всё активнее работают над обеспечением более продвинутой безопасности, выявляя любые уязвимости в своих системах, которые могут подвергнуть их риску. Несмотря на это, фишинговые атаки случаются, а вероятность утечки данных остаётся. Именно это произошло с китайской компанией Mars Hydro, специализирующейся на оборудовании для выращивания в помещениях и гидропонике. Её база данных оказалась незащищённой, что привело к утечке 2,7 млрд записей.
Злоумышленники всё чаще используют уязвимости в системах различных компаний. Их базы данных нередко попадают в чужие руки, что создаёт потенциальный риск раскрытия конфиденциальной информации. Среди данных от Mars Hydro — информация о клиентах, включая сведения о смартфонах, операционных системах (таких как iOS и Android) и Wi-Fi-сетях.
База данных Mars Hydro не была защищена паролем, так что произошла утечка множества записей, включая названия и пароли Wi-Fi-сетей (SSID), IP-адреса, адреса электронной почты, а также данные о смартфонах, включая информацию о том, работают ли они на iOS или Android. Это не только создаёт угрозу несанкционированного доступа к устройствам и сетям, но и даёт кибератакующим возможность отслеживать коммуникации и нацеливаться на пользователей через скомпрометированные контактные данные. Это может привести к атакам «человек посередине», при которых злоумышленники могут перехватывать и изменять трафик между пользователем и устройством.
Среди всех возможных рисков атаки «человек посередине» являются одними из самых опасных, поскольку обе стороны коммуникации не подозревают, что их данные изменяются или перехватываются. Это может привести к краже личных данных, логинов и паролей, финансовой информации и даже корпоративных сведений в рамках атак на перехват информации.
Mars Hydro использует смартфоны для управления некоторыми гидропонными устройствами, поэтому предлагает мобильное приложение в App Store и Google Play. Оно поддерживает несколько языков, включая английский, французский, китайский и немецкий. Хотя в политике конфиденциальности приложения указано, что оно не собирает пользовательские данные, возможно, что IoT-устройства, подключённые к сети пользователя, могли передавать информацию, что и привело к утечке. Хотя пока мало данных о том, были ли утёкшие сведения использованы в злонамеренных целях, риск остаётся.