无论是互联网时代，还是如今的万物互联时代，信息安全一直是一个不容忽视的问题。设备及软件的安全该如何加固以及维护，早已成为各大科技巨头们暗中较量的一大技术点。而身为开发者的我们，又能从每次发生的安全事件中汲取哪些经验与教训？

作者 | Giulio Saggin
译者 | 谭开朗，责编 | 屠敏
出品 | CSDN（ID：CSDNnews）

近日，据福布斯报道，安全研究人员发现了一个包含20亿条日志记录的用户数据库，“其被暴露于互联网上，无需任何访问密码”。

据了解，此数据库的信息归一家经营智能家居设备管理平台的国内某公司所有，而数据库里包含了电子邮件地址、密码、精确的地理位置、IP地址、用户名、用户ID、家庭ID、智能设备、访问账号的设备、调度信息和账户重置代码等信息。

由Noam Rotem和Ran Locar领导的vpnMentor研究人员表示，重置密码“会发送给用户以重置他们的密码或电子邮件地址。一旦有了这些信息，黑客无需密码就可以锁住用户的账户。而更改密码和电子邮件地址都是不可逆的操作。”

同时，据报道，该智能家居解决方案供应商的家庭安全设备包括智能锁、家庭安全摄像头和全套智能家居套件，研究人员表示：“由于信息泄漏，这些设备就毫无安全可言了。即使安装了某个设备，它也可能被破坏，并不能增强用户的人身安全。”

随后，研究人员在研究后也表示道，“破解方法是出人意料的，可以猜测为：一个错误配置的、面向互联网的没有密码的Elasticsearch的数据库。更糟糕的是，一款基于Kibanna的应用程序本就可以在浏览器更轻松的读取到数据，更何况它还没有密码保护。”

不过，目前值得庆幸的是，在这一漏洞被爆出没多久，该智能家居企业的研发和安全团队就已修复了安全漏洞，并确认该漏洞并未造成实际用户损失。随后Vpnmentor也在其博客更新了报告，确认该公司已经完成了风险修复。对此，该智能家居公司的有关发言人表示：

• Vpnmentor所指安全风险所威胁的“20亿条数据”主要是指20亿条测试和仿真的日志，并非实际用户数据。本公司全球IoT用户仅300万，远远没有达到20亿用户。不存在所谓“20亿用户数据泄露”这个可能。
• 由于Vpnmentor的及时发现和快速沟通，本公司安全和技术团队确认，除Vpnmentor之外，并没有其他机构访问和下载该日志，在漏洞修复后，安全威胁已解除。
• 出现问题的第三方日志系统ElasticSearch只应用在本公司的北美AWS服务器上，因此漏洞不会威胁到其北美外其他地区（包括中国）的IoT用户和设备。
• 目前，公司智能家居系统已经立即升级密码加密机制，同时升级对用户帐户和密码重置的保护。

事实上，在科技飞速发展的今天，物联网的诞生给现代生活带来了莫大的好处，不过与之而来的安全问题无疑给涉及其中各大企业带来了巨大的挑战。以上所提及的智能家居企业幸而在尚未造成大面积攻击之前修复了安全漏洞，但这一事件也为身处 IT 领域的每位开发者与技术工程师敲响了警钟。基于此，对于开发者而言，在日常的开发过程中，千万不要主攻了功能而忘却了加固安全，无论何时大家需要铭记的是安全无小事。虽然想要制作一个百分之百安全的物联网设备似乎不太可能，但是身为开发者却一定能实现一款尽可能安全的产品。

别惊讶！人工智能时代即将到来！
https://edu.csdn.net/topic/ai30?utm_source=csdn_bw

参考：
https://secalerts.co/article/two-billion-records-exposed-in-smart-home-breach/5e204721
本文为 CSDN 编译，转载请注明来源出处。