Massives Leak bei Mars Hydro: Fast 3 Milliarden Datensätze standen ungeschützt im Netz. Außerdem: Leak-News zu Storenvy, Zacks und Doxbin.
Hobbygärtner aufgepasst: Datensätze von Mars Hydro und weiteren Wachstumslampen-Herstellern waren ungeschützt einsehbar – inklusive WLAN-Passwörtern. Frische Infos zu früheren Datenlecks gibt es zu Storenvy, Zacks und Doxbin.
Der Sicherheitsforscher Jeremiah Fowler hat im Web eine ungeschützte Datenbank mit mehr als 2,7 Milliarden Einträgen entdeckt. Das rund 1,17 TByte große Datenleck stammt von der chinesischen Firma Mars Hydro, die sich auf IoT (Internet of Things)-Wachstumslampen für die Indoor-Pflanzenaufzucht sowie auf passendes Zubehör (u.a. Ventilatoren, Zuchtzelte und Komplettsets) spezialisiert hat. Die Datenbank enthält aber offenbar auch Querverweise zu zwei (US-)Firmen, die ähnliche Produkte herstellen: LG-LED SOLUTIONS und Spider Farmer.
Produkte von Mars Hydro und Spider Farmer sind auch aus Deutschland bestellbar. Ob das Leak vertrauliche Daten von Kunden hierzulande enthält, geht aus Fowlers Blogpost zum Datenleck nicht explizit hervor. Dennoch ist es ratsam, vorsorglich sämtliche Passwörter zu ändern, die im Zusammenhang mit den IoT-Diensten zum Einsatz gekommen sind.
Unverschlüsselte Kennwörter und SSIDs
Die smarten Growing-Komponenten von Mars Hydro sind miteinander vernetzt und über spezielle Smartphone-Apps steuer- und timebar. Verfügbar sind die betreffenden Android- und iOS-Anwendungen auf Englisch, Französisch, Chinesisch und auch Deutsch. Letzteres erhöht die Wahrscheinlichkeit, dass bei der Datenpanne auch Informationen aus Deutschland abgeflossen sein könnten.
Die von Fowler untersuchten Datenbankeinträge waren nach dessen Angaben weder verschlüsselt noch passwortgeschützt. Sie enthielten primär Informationen zur IoT-Netzwerkkommunikation. Dazu gehörten etwa Details zu den mobilen Endgeräten und ihren Betriebssystemen. Und IDs der IoT-Komponenten, IP-Adressen sowie diverse Logdateien mit potenziell vertraulichen Informationen (z.B. Tokens, App-Versionen, Gerätedetails). In insgesamt 13 Ordnern des Mars Hydro Datenlecks entdeckte der Forscher darüber hinaus über 100 Millionen Einträge mit WLAN-SSIDs. Den WLAN-Namen waren jeweils Passwörter im Klartext zugeordnet.
Datenbank nach Leak abgesichert, Gefahr nur bedingt gebannt
Fowler informierte Mars Hydro und LG-LED SOLUTIONS. In der Konsequenz wurde die Datenbank innerhalb weniger Stunden gegen künftige unbefugte Zugriffe abgesichert. Leider ist jedoch unklar, wie lange die Informationen zuvor abrufbar waren und ob sich Kriminelle daran bedient haben. Der Forscher sieht ein hohes Risiko für Man-in-the-Middle-Angriffe. Auch Szenarien unbemerkter Überwachung oder heimlich ausgekundschafteter Netzwerke seien auf Basis des Mars Hydro Datenlecks denkbar.
Grundsätzlich extrem bedenklich ist auch die offenbar unverschlüsselte Datenübertragung über die App. Denn IoT-Infrastrukturen fallen sehr häufig Angriffen zum Opfer. Ob Mars Hydro auch diesbezüglich nachgebessert hat, geht aus Fowlers Beitrag nicht hervor. Offenbar gestaltete sich die Kommunikation mit dem Unternehmen insgesamt schleppend. Ein Update der Smartphone-App ist ratsam. So denn eines verfügbar ist und man dem Hersteller und seinen Produkten überhaupt weiterhin Vertrauen schenken möchte.
Neue Leak-Infos zu Storenvy, Zacks und Doxbin
Wo wir gerade beim Thema Datenpannen sind: Wer auf der E-Commerce-Plattform Storenvy, beim Onlinetool Zacks zum Visualisieren von Aktienkursen oder bei Doxbin angemeldet ist oder war, sollte „Have I Been Pwned“ einen Besuch abstatten. Troy Hunt hat seinem Portal in den vergangenen Tagen nämlich einige Informationen zu diesbezüglichen Leaks hinzugefügt. So können Nutzer überprüfen, ob ihre Daten kompromittiert wurden.
Die betreffenden Datensätze von Storenvy stammen bereits von Mitte 2019. Sie tauchten erstmals, teils mit gecrackten Passwort-Hashes, in einem Untergrundforum auf. Sie umfassen unter anderem 11 Millionen E-Mail-Adressen mit Nutzernamen, IP-Adressen und weiteren Informationen. Fast identische Dimensionen hat das Zacks-Leak von Juni 2024 mit fast 12 Millionen Mail-Adressen und Passworthashes ohne Salt. Noch ganz frisch sind die von Doxbin durch die Hackergruppe Tooda abgegriffenen 136.000 E-Mails und Namen von Usern.
Mehr Informationen zu den genannten Datenlecks gibt es auf der Have I Been Pwned-Startseite unter „Recently added breaches“. Um herauszufinden, ob man selbst betroffen ist, kann man dort seine E-Mail-Adresse eingeben und mit sämtlichen verfügbaren Breach-Daten abgleichen. Alternativ macht der „Pwned Passwords“-Service dasselbe mit Kennwörtern.
