中国のスマートホーム企業ORVIBOの顧客データが公開状態に

　スマートホーム管理プラットフォームを手がける企業が、顧客とそのデバイスのパスワードのデータを漏えいさせている。漏えい源は、パスワードをかけずにインターネットに接続されている「ElasticSearch」サーバーだ。

　このサーバーが帰属するのは、深センに拠点を置く中国企業ORVIBOだ。同社は、最新のスマートホームでスマート家電を管理するプラットフォーム「HomeMate」を運営している。

　同プラットフォームは、セキュリティカメラ、スマート電球、サーモスタット、HVAC（暖房換気空調）システム、ホームエンターテインメントシステム、スマートプラグ、スマートカーテン、スマートドアロックなど、多くのORVIBO製スマート機器の相互接続と制御をサポートしている。

データ漏えいは2週間以上前から

　しかし、ORVIBOは自社のバックエンドサーバーの1つ、具体的には、最新の接続ログが集積される「ElasticSearch」データベースの設定を誤ったとみられ、これをパスワードで保護せずにインターネットに接続していた。

　このデータベースは6月半ば、セキュリティ研究者のNoam Rotem氏とRan Locar氏が率いるvpnMentorのセキュリティチームによって発見された。チームは同月のうちに米ZDNetに発見を伝え、ORVIBOに問題を通知するための協力を求めた。

　過去2週間にわたって、vpnMentorと米ZDNetはORVIBOに連絡をとり、このセキュリティ上の問題について知らせたが、本稿執筆時点でORVIBOから反応はなく、何の対策もとられていない。

　問題のElasticSearchサーバーは今なおオンラインで自由にアクセスできる状態にあり、サーバーに置かれている接続ログのデータには、7月1日付けという直近のものまで含まれる。

　また、同じサーバー上で稼働している関連ツールの「Kibana」も、パスワードなしでアクセス可能になっている。Kibanaはウェブベースのアプリケーションで、デフォルトのテキストベースのインターフェースの代わりにGUIを利用してElasticSearchサーバーのデータを可視化するものだ。

　vpnMentorによると、漏えいしているデータにはユーザー名、電子メールアドレス、ハッシュ化されたバスワード、位置情報などが含まれるという。