Akıllı jakuziler – evet, bu bir şey! – siber güvenlik karmaşası için web’in en yeni noktası.
Florida merkezli siber güvenlik araştırmacısı Eaton Zveare, Küvetlerin İnterneti sorununu ilk kez kendi raporunda belgeleyen kişi oldu. kişisel blog, kendi jakuzi markalı küvetinin internet özellikli işlevselliğini kurarken kusurla yüz yüze geldikten sonra. Hızlı bir şekilde bulduğu şey, bu akıllı özelliklerin aynı zamanda kötü oyuncuların kişisel verilerine ve diğer birçok SmartTub meraklısının verilerine erişmesine izin verebileceğiydi.
Günlük cihazlarımız giderek daha akıllı hale geliyor, ancak ne zaman internete bir şey bağlansa, aptal güvenlik açıkları takip ediyor. kahve demlikleri gördük fidye yazılımına maruz kaldıbebek monitörlerinden özel beslemeler çevrimiçi sızıntıveya üzerindeki herhangi bir şey Bok İnterneti Twitter beslemesi. Rezil panteonun en yeni ilavesi: Jakuzi SmartTub (ve bir sürü diğerleri).
Evet, jakuzinin tüm akıllı aparatına tam anlamıyla denir Akıllı Küvet. Hemen hemen tüm diğer IoT hizmetlerinde olduğu gibi, SmartTub da kolaylık sağlamak için tasarlanmıştır: sahiplerin ilgili bir Android veya iOS uygulamasıyla küvetlerine bağlanmasına olanak tanır ve bu uygulama, sahiplerini herhangi bir elektrik kesintisi veya sistem sorunundan haberdar ederken, aynı zamanda küvetlerinin sıcaklığını ve jetlerini el cihazlarının rahatlığından değiştirmelerine izin veriyor. Görünüşe göre bu özellik, Google Play Store’da SmartTub uygulaması için 10.000’den fazla indirme olacak kadar popüler. yalnız.
Ama Zveare kendi hesabını ilk kez kurmaya çalıştığında internet sitesi küvet uygulamasıyla ilişkili olarak garip bir şey fark etti; ekranına, o siteye erişmek için “yetkisiz” olduğunu söyleyen bir uyarı çıktı. Ancak bu bildirim yayınlanmadan hemen önce, araştırmacı, uygulamayı kullanan diğer küvet sahiplerinden gelen kişisel verilerle dolu bir yönetici paneline kısa bir bakış attı. Bunlar arasında kendisi gibi Jakuzi müşterileri ve ayrıca Sundance Spa, D1 Spas ve ThermoSpas gibi Jacuzzi markası altında diğer akıllı küvetleri olan kişiler de vardı.
Zveare’e göre, gerçek bir “göz kırpıp kaçırırsınız” anıydı. “Onu yakalamak için bir ekran kaydedici kullanmak zorunda kaldım” diye yazdı.
Güvenlik bilincine sahip bir kullanıcı olarak Zveare’nin ilk yanıtı denemek ve siteyi tamamen aç. Ve (göreceli bir kolaylıkla) adlı bir araç kullanarak yaptı. kemancı web trafiğini değiştirmek ve TubSite’ı aslında bir yönetici olduğuna ikna etmek için. Ve akıllı teknoloji, yine, genellikle oldukça geçirgen olduğundan, bu taktik işe yaradı: Zveare, dünyanın dört bir yanındaki Küvet sahiplerinin adlarını ve e-posta adreslerini içeren tüm yönetici paneline erişim elde etti.
“Yönetici paneline girdiğimde, izin verdiğim veri miktarı şaşırtıcıydı. Her spanın ayrıntılarını görebilir, sahibini görebilir ve hatta sahipliğini kaldırabilirdim” diye yazdı. “Tüm kullanıcı bilgilerini indirmek için bir komut dosyası oluşturmak önemsiz olurdu. Zaten yapılmış olması da mümkün.”
Yorum için jakuziye ulaştık. Zveare de aynı şeyi yaptı – bloguna göre tekrar tekrar: kusurları önce geçen yılın Aralık ayında keşfettiğinde, sonra tekrar Ocak ayında, sonra tekrar yıl boyunca. Jakuzi, yanıt olarak, Zveare’nin yeniden anlatımına göre, e-postaları kabul etmek (ancak başka bir işlem yapmamak) ile tamamen görmezden gelmek arasında gidip geldi. Sonunda, Jakuzi’nin kullandığı oturum açma sistemlerinden sorumlu olan Auth0 adlı bir şirketten bir güvenlik temsilcisine bağlandı. Bu şirket, Jacuzzi’yi savunmasız bir paneli kapatmaya ikna edebildi, ancak jakuzi Bölüm ikinci bir panel bıraktı açığa çıktı, diye yazdı Zveare.
Yine de sonunda, Zveare “kontrol etmeye” karar verdi. [that panel] “rastgele”, tüm bu konuşmayı kendi blogunda yazmaya hazırlanırken. Ve sonunda, jakuzi gibi görünüyor yaptı onu keşfeden kişiye söylemeden kalan paneli sıkıştırın.
Jakuzi bu veri fiyaskosunu hiç kabul edecek mi? Şimdiye kadarki geçmiş performansına göre, bunu tahmin edemezdik. Dedi ki, jakuzi markası dır-dir Kaliforniya merkezlidir ve bu eyaletin yasaları vardır. IoT cihazları için güvenlik standartları ve eyalet sakinlerini zorunlu kılan yasalar Haberdar edilmek kişisel bilgileri ihlal edildiğinde.