W lutym 2025 roku doszło do poważnego incydentu związanego z wyciekiem danych dwóch czołowych producentów oświetlenia LED do uprawy roślin – chińskich firm Mars Hydro i Spider Farmer. Wyciek ten ujawnił ogromną ilość wrażliwych informacji, co wywołało szerokie obawy dotyczące bezpieczeństwa użytkowników na całym świecie.

Szczegóły wycieku danych

Incydent został odkryty przez eksperta ds. cyberbezpieczeństwa, Jeremiaha Fowlera, który ujawnił, że baza danych należąca do Mars Hydro była publicznie dostępna bez żadnej ochrony. Według raportu, niezabezpieczona baza danych zawierała aż 2,7 miliarda rekordów o łącznej wielkości 1,17 terabajta. Dane te obejmowały szeroki zakres informacji, zarówno technicznych, jak i osobistych.

Zakres ujawnionych danych

Wśród ujawnionych informacji znalazły się:

• Dane sieciowe:

  • Nazwy sieci Wi-Fi (SSID).
  • Hasła do sieci Wi-Fi w postaci jawnego tekstu.
  • Adresy IP użytkowników.
  • Unikalne identyfikatory urządzeń IoT.

• Dane użytkowników:

  • Adresy e-mail.
  • Informacje o systemach operacyjnych urządzeń mobilnych (Android, iOS).

• Dane systemowe i API:

  • Logi błędów zawierające szczegóły działania urządzeń.
  • Tokeny dostępu, potencjalnie umożliwiające przejęcie kontroli nad urządzeniami.
  • Informacje o wersjach aplikacji i urządzeń.

Tak szeroki zakres ujawnionych danych stwarza poważne ryzyko dla prywatności i bezpieczeństwa użytkowników.

Powiązanie z firmą Spider Farmer

Analiza rekordów wykazała obecność wpisów „Mars-pro-iot-error” oraz „SF-iot-error”, co sugeruje możliwy wyciek danych użytkowników Spider Farmer. Baza zawierała też odwołania do API i URL-i LG-LED SOLUTIONS LIMITED, co może wskazywać na wspólną infrastrukturę technologiczną.

Choć brak jednoznacznego potwierdzenia, czy dane Spider Farmer były przechowywane w tej samej bazie, istnieje ryzyko współdzielenia platformy IoT, co mogło doprowadzić do ujawnienia danych klientów obu marek.

Potencjalne zagrożenia dla użytkowników

Ujawnienie tak dużej bazy danych niesie poważne ryzyko dla użytkowników urządzeń IoT. Hakerzy mogą wykorzystać te informacje do:

• Nieautoryzowanego dostępu do sieci Wi-Fi – Posiadając nazwy i hasła, atakujący mogą przejąć kontrolę nad domowymi sieciami, monitorować ruch czy instalować złośliwe oprogramowanie.

• Przejęcia kontroli nad urządzeniami IoT – Dzięki tokenom dostępu i identyfikatorom urządzeń, hakerzy mogą:

  • Zdalnie sterować urządzeniami, włączając i wyłączając sprzęt.
  • Zmieniać ustawienia oświetlenia i nawadniania, co wpłynie na uprawy.
  • Wykorzystywać urządzenia w atakach botnetowych.

• Ataków typu man-in-the-middle – Atakujący mogą przechwytywać i modyfikować komunikację między użytkownikami a urządzeniami, kradnąc poufne informacje.

• Ryzyka dla hodowców roślin – W krajach, gdzie uprawa niektórych roślin jest nielegalna, ujawnienie danych może prowadzić do identyfikacji lokalizacji upraw i konsekwencji prawnych dla hodowców.

Przyczyny wycieku

Główną przyczyną incydentu był brak odpowiednich zabezpieczeń na serwerach Mars Hydro. Baza danych była publicznie dostępna bez jakiejkolwiek autoryzacji, co oznacza, że każdy mógł uzyskać do niej dostęp. Dodatkowo, przechowywanie haseł w postaci jawnego tekstu oraz brak mechanizmów logowania dostępu świadczą o poważnych zaniedbaniach w zakresie cyberbezpieczeństwa.

Reakcja firm i dalsze kroki

Po odkryciu wycieku, Jeremiah Fowler niezwłocznie poinformował zarówno Mars Hydro, jak i LG-LED SOLUTIONS LIMITED. Dzięki temu baza danych została zabezpieczona w ciągu kilku godzin od zgłoszenia. Mars Hydro potwierdziło, że aplikacja Mars Pro, z której pochodziła część ujawnionych danych, jest ich oficjalnym produktem.

Mimo szybkiej reakcji, incydent ten pozostawia wiele pytań bez odpowiedzi. Nie wiadomo, jak długo baza danych była publicznie dostępna oraz czy hakerzy zdążyli już wykorzystać ujawnione informacje. Eksperci ds. cyberbezpieczeństwa zalecają, aby firmy, których dane mogły zostać naruszone, przeprowadziły audyt kryminalistyczny w celu określenia skali wycieku i ewentualnych konsekwencji.

Podsumowanie

Wyciek danych Mars Hydro i Spider Farmer ujawnił 1,17 terabajta wrażliwych informacji, stwarzając poważne zagrożenie dla prywatności użytkowników. To zdarzenie jest przestrogą dla producentów IoT – brak zabezpieczeń może mieć poważne konsekwencje.

Działania naprawcze Mars Hydro pokazują, że szybkie reagowanie jest możliwe, ale kluczowe jest zapobieganie takim sytuacjom. Bezpieczeństwo danych powinno być priorytetem dla każdej firmy technologicznej.