惠而浦使客户数据库暴露无遗,并透露了一些管闲事
资料来源:Wikimedia,来源:YukiMuonMadobeNite
- 惠而浦泄露了许多客户的电子邮件地址,承认数量为48000。
- 暴露的数据库包含2810万条记录,构成设备扫描报告。
- 扫描每60分钟进行一次,将网络状态和设备属性发送回Whirlpool。
安全研究员鲍勃·迪亚琴科(Bob Diachenko)在公开的心跳监视服务实例中注意到了一种异常类型的信息。经过进一步检查,研究人员发现该数据属于拥有Whirlpool设备的人,并且该数据库托管了完整的系统扫描报告。由于很快变得很明显,数据库每小时都会收到新的条目。这意味着惠而浦将以非常频繁的时间间隔扫描其设备,以检查其Internet连接状态。如果它们在线,则惠而浦会收集SAID号,型号名称和编号,各种属性以及客户电子邮件。
公开的数据库包含超过2810万条记录,这意味着该人数的电子邮件地址可能已受到破坏。虽然丢失电子邮件地址并不是完全灾难性的,但将此信息与其他数据相关联会导致网络钓鱼攻击和其他形式的定位。此外,即使每隔60分钟扫描一次设备,即使这样做是出于仁慈的意愿,也有点过分。
来源:安全发现
研究人员通知了拥有百年历史的美国制造商,并于第二天删除了数据库和服务实例。他们的官方声明在几天后发布,内容如下:
您可以接受2810万条记录仅对应48000个电子邮件地址的事实。以与使用Whirlpool IoT设备相同的方式来决定。通常,连接到互联网的任何内容都会构成隐私和安全风险。这种情况下,洗碗机和冰箱每小时都会打电话回惠而浦,这很好地说明了我们的消费者在处理智能设备时经常忘记的风险。