14:33
2/7/2019

2 miliardy logów dotyczących domowych kamer, oświetlenia a nawet zasłon i luster(!) znajduje się w bazie danych chińskiego producenta, który niestety nie zadbał o należyte zabezpieczenie tej bazy. Imponujący wyciek pokazuje zarówno olbrzymi potencjał informacyjny drzemiący w rozwiązaniach IoT, jak i liczne zagrożenia związane z tym potencjałem.

Chińska firma ORVIBO Technology Co z siedzibą w Shenzen produkuje różne “dizajnerskie” gadżety do “inteligentnego domu”. Mówimy o ponad 100 różnych urządzeniach, które są elementami  systemów oświetlenia, zasilania, bezpieczeństwa czy rozrywki.

Produkty Orvibo są wszechstronne i według producenta korzystają z “bezpiecznej chmury”

Firma oferuje nawet inteligentne systemy do zasuwania zasłon, co zapewne zawstydzi niejednego posiadacza zwykłych “głupich” silniczków do zasuwania. Produkt widoczny poniżej wykrywa zacinanie się, ma “miękki start” i reaguje na komendy głosowe.

Orvibo sprzedaje nawet “inteligentne” lustra wyświetlające pewne informacje na lustrzanej tafli. W Polsce da się kupić produkty Orvibo m.in. sterowane pilotem gniazdka i systemy automatyki domowej sterowane smartfonami. Chińska firma chwali się, że na całym świecie ma milion użytkowników. Są nimi zarówno osoby indywidualne jak i firmy (np. hotele).

Baza wystawiona na świat

Choć firma Orvibo oferuje także systemy bezpieczeństwa to sama nie zadbała o bezpieczeństwo swoich baz danych. Serwis vpnMentor poinformował, że jego ekipa badawcza odkryła ogromną bazę danych powiązanych z produktami Orvibo. Baza obejmuje 2 miliardy logów dotyczących różnych urządzeń. Jest prawdopodobnie ciągle otwarta, a ilość dostępnych danych każdego dnia się zwiększa.

Zakres danych w bazie obejmuje:

  • adresy e-mail,
  • nazwy użytkowników,
  • identyfikatory użytkowników,
  • hasła (niesolone md5),
  • kody do resetowania kont,
  • lokalizację urządzeń,
  • adresy IP,
  • nazwiska,
  • informacje o zaplanowanych działaniach.

Zestaw dostępnych informacji mógł być różny w zależności od konta, którego dane dotyczą.

Logi przejrzane przez ekipę vpnMentor obejmują użytkowników z Chin, Japonii, Tajlandii, USA, UK, Meksyku, Francji, Australii i Brazylii. Cieszy nas, że nie wspomniano o użytkownikach z Polski, ale nie można wykluczyć, że gdzieś w bazie są dane Polaków.

Źródło obrazka: vpnMentor

Zastanawiająca jest sama ilość informacji jaką Orvibo zbiera o swoich użytkownikach.

Przejęcie konta lub podglądanie przed włamaniem?

Na podstawie danych dotyczących niektórych kont możliwe jest przejęcie konta poprzez zresetowanie hasła.  Złamanie hashy z hasłami w niektórych przypadkach z pewnością było możliwe. Owszem, w przypadku inteligentnego lustra możliwość przejęcia konta nie wydaje się dużym problemem, ale w przypadku inteligentnej domowej kamery to poważny problem.

Jak podaje vpnMentor, Orvibo przechowuje dane lokalizacyjne w formie precyzyjnych danych o szerokości i długości geograficznej. W wielu przypadkach ujawnia to dokładny adres użytkownika.

Dane lokalizacyjne w bazie Orvibo (źródło: vpnMentor)

Analizując dane z bazy można też określić ile urządzeń jest podłączonych do danego konta oraz do czego one służą, gdzie są rozmieszczone i kiedy są używane. Możliwe wydaje się również wyciąganie poprawnych wniosków na temat tego, czy dane urządzenie jest używane w firmie czy w gospodarstwie domowym.

Dostępność aż 2 miliardów logów sugeruje, że można bez problemu połączyć różne dane by zdobyć dość dużo informacji na temat funkcjonowania osób indywidualnych lub firm. Takie dane mogą się przydać do ataków zdalnych, włamań czy szantażów. Założymy się, że każdy z naszych Czytelników mógłby od razu podać 3-4 możliwe zastosowania.

Brak reakcji po stronie Orvibo

Ekipa badawcza vpnMentor próbowała się skontaktować w Orvibo już 16 czerwca. Najpierw wysłano e-maila, a po kilku dniach podjęto próbę skontaktowania się przez Twittera. Potem vpnMentor zwrócił się o pomoc do serwisu ZDNet, licząc na to, że duże medium prędzej dotrze do firmy. Dobrze to znamy z własnego podwórka, bo również niejednokrotnie pomagamy Wam w “sprzątaniu” po jakimś wycieku.

ZDNet wczoraj pisał, że dane Orvibo ciągle wyciekają. Podał też pewne dodatkowe szczegóły np. że wycieK dotyczy serwera ElasticSearch. Ciekawi jesteśmy ile newsów o Orvibo jeszcze powstanie, zanim ktoś w firmie zorientuje się, że dane ciekną?

Co robić? Jak żyć?

Przypadek Orvibo łączy dwa doskonale nam znane problemy – źle skonfigurowane bazy oraz IoT.

O źle skonfigurowanych bazach pisaliśmy ostatnio w kontekście wycieku danych 540 mln użytkowników Facebooka. Po prostu czasem się zdarza, że drobny błąd człowieka wystawia ogrom danych na świat. Niestety niejednokrotnie widzimy, że trudno jest takie wycieki zgłosić. To niezwykłe, ale firmy gromadzące ogromne ilości danych o ludziach czasami zachowują się tak, jakby w ogóle nie przewidziały możliwości wycieku i wykrycia go przez kogoś z zewnątrz.

Jeśli chodzi o urządzenia IoT to niestety bardzo często są one słabo zabezpieczone, mimo iż znajdują się blisko użytkownika i ujawniają wiele danych o jego życiu. Klasycznym problemem są proste hasła domyślne, czasami jednakowe dla wszystkich nabywców i zmieniane tylko przez nielicznych.  Zdarza się również, że sami pozwalamy tym urządzeniom na zbyt wiele, naiwnie wierząc, że nic się nie stanie. Kto by pomyślał, że sterowany głosowo głośnik nagra kłótnie małżonków i gdzieś ją wyśle? Teoretycznie to było “bardzo mało prawdopodobne”, ale w praktyce mało prawdopodobne rzeczy jednak się zdarzają (por. Amazon Echo nagrał prywatną rozmowę i udostępnił ją bez wiedzy właścicieli).

Nie chcemy wam sugerować, że wszystkie rozwiązania IoT są złe. Niestety nie macie wpływu na wyciek danych po stronie dostawcy urządzenia, ale (czasami) macie wpływ na konfigurację samego urządzenia. Dlatego warto pamiętać, by zmieniać domyślne hasła i ustawiać mocne, unikatowe hasła do kont powiązanych z urządzeniami IoT. Warto rozważyć podawanie ograniczonej ilości informacji przy rejestracji urządzenia, albo wręcz podawanie błędnych danych (jeśli jest taka możliwość). Należy zachować szczególną ostrożność w przypadku urządzeń, które ciągle nas podsłuchują lub nagrywają. Pamiętajcie, że możliwość zdalnego pilnowania domu to także możliwość szpiegowania.

Aktualizacja 3.07.2019 14:09

Przed kilkoma godzinami wyciek został załatany. Firma Orvibo poinformowała, że jej ekipa RD podjęła działania by załatać lukę. Przy okazji podjęto decyzję o wzmocnieniu mechanizmu szyfrowania haseł oraz o wzmocnieniu współpracy z firmami z branży bezpieczeństwa.

Orvibo twierdzi, że zareagowała natychmiast gdy dowiedziała się o sprawie tzn…. 2 lipca.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

56 komentarzy

Dodaj komentarz
  1. “Dlatego warto pamiętać, by zmieniać domyślne hasła i ustawiać mocne, unikatowe hasła do kont powiązanych z urządzeniami IoT. Warto rozważyć podawanie ograniczonej ilości informacji przy rejestracji urządzenia, albo wręcz podawanie błędnych danych (jeśli jest taka możliwość).”
    Co mi z tego że ustawię mocne hasło jak ono wycieknie?
    Ważne żeby było unikalne.

    • Wycieknie hasz (w większości przypadków, ale przechowywanie haseł plain-textem pomińmy). Więc tak czy owak hasz trzeba złamać. Przy silnym haśle będzie to o wiele rzędów wielkości trudniejsze, niż przy “admin123”

    • To, że nie będzie go w rainbow tables a nie każdemu atakującemu będzie się chciało je łamać, więc twoje urządzenia będą bezpieczniejsze nieco dłużej w przypadku wycieku.

    • skąd znasz moje tajne hasło??

    • Zakładasz że zmiana haseł dostępowych domyślnych czyni Cię bezpiecznym. A co w przypadku gdy jest “drugi” login taki serwisowy, albo inny dostęp o którym nie masz bladego pojęcia? Żyjesz sobie w błogiej nieświadomości że Twoje super smart urządzonka mają poważną lukę o której nie wszyscy wiedzą :) Problem z tego typu rozwiązaniami jest jeszcze inny ale za dużo by tu pisać :) Pozdrawiam serdecznie

    • Zainstaluj sobie menedżera haseł (np. program KeepassXC). Wtedy będziesz mógł bez problemu stosować hasła zarówno unikalne, jak i mocne. Zapamiętanie 50 unikalnych haseł bez menedżera jest dosyć trudne.

  2. Link do artykułu vpnMentor z fbclid? Why oh why?!

  3. Samo zbieranie jakichkolwiek danych przez producenta e-lustra czy e-zasłonek to zło. Zabezpieczanie ich jest ważne, ale po pierwsze, w ogóle nie powinien się taki e-przedmiot łączyć z kimkolwiek innym poza jego użytkownikiem.

    • To chiny. Co zrobisz? nic. Cała europa się martwi o co2 etc, a 2 największych emiterów tego g…. ma to gdzieś :) To samo z takim wyciekiem, albo zbieraniem informacji, ok zbieramy i co? nie powinniśmy czegoś robić , robimy i co? Myślę że ludzie powinni byc bardziej świadomi zagrożeń jakie niosą ze sobą takie rozwiązania :)

  4. Temu lepiej zbudować własny Smart Home a nie płacić krocie za tego typu systemy.

    • zbudowałeś sam sobie taki system? Przygotowaleś odpowiednią dokumentację? Co w sytuacji, gdy coś Ci się stanie. Nagle nie ma inżyniera całego systemu na którym stoi domek. Nagle się okazuje że dystrubucja linuxa na której to stoi była jedyną kopią na woluminie który właśnie powiedział papa, backupu nie ma, albo jest ale cóż… nie przywraca się :) Małe rozwiązania sa dobre gdy sa naprawdę małe, jeśli przybierają formę czegoś “większego” zaczynają sie schody :) A później reverse , co szanowny konstruktor miał na myśli… Nie ma chyba nic gorszego niż dzwonienie każdego kabla w ścianie bo tak się okazało że ktoś kto je kładł zapomniał dobrze je opisać .

    • Lepiej w ogóle nie mieć takiego domu, ślepa uliczka dla rozwoju elektroniki.
      Ryzyko większe niż opłacalność tego.

    • Do Kolegi @Piotr.
      Średnio rozgarnięty admin, czyli osoba która potrafi nieco więcej niż “zaawansowany” dwuklik w jedynie słusznym systemie, wszystkie poruszone przez Ciebie aspekty ma zapewnione. Nawet ten aspekt kabelków w ścianie czy na ścianie! Niczego nie musi “wydzwaniać” bo ma opisane jaki kolor i na której krosownicy jest do czego podpięty. Taką dokumentację tworzy się projektując rozwiązania. Jak tworzy się prowizorki, to wtedy powstaje bajzel. A co do wielkich firm producenckich. Z nimi jest jak z firmami od zamków mechanicznych. Nowy typ zamka w pierwszej kolejności kupują osobnicy, którzy muszą jego budowę, żeby móc bezkarnie kroić mieszkania!

    • @Piotr – oj zaraz, czarno to przedstawiasz. tyle że każd ydobry inzynier, jak się za coś takiego w ogóle bierze – to dobrze takie rzeczy przemysli i przygotuje isę na kilkupietrowe “co , jeśli ?” (i jednak dokumentacje jaką taką sobie robi- nawet dla dla pamięci, dla siebie) a dopiero potem ew. pozwala sobie powierzyć swoje bezpieczeństwo (lub nawet więcej) systemowi który zaprojektował. Narwańcom/ciekawym śiwata studentom :) zdarza się podłaczać np. sterowanie mikrofalą czy innym czajnikiem do kompa (dawniej najłatwiej przez LTP było teraz sa inne rozwiązania i pomysły) i to nawet fjanie dział – do czasu kiedy “coś pójdzie nie tak” i się przypadkiem pół pokoju nie sfajczy …. (dobrze ze tylko pół bo sąsiedzi byli i korki wyłączywszy ugasili …
      Ale to są tzw. koszta wliczone rozwoju (i nauki ) – a nie podejmowanie takich istotnych decyzji jak budowa/projektowanie całościowych systemów zarządzających automatyka budynku itp .
      Wszystkim domorosłym “mechanikom i wynalazcom” polecam poczytanie sobie choćby o historii, ewolucji i poznanie szczegółów mechaniki/automatyki/systemów zarządzających np takimi windami w większych budynkach – to bardzo wiele uczy :) Albo innyc hsystemów automatyzacji budynków czy tzw. BMSu .

    • @Piotr

      Oj, nie doceniasz kolegów, a to zazwyczaj błąd ;)

      Niektóre osoby prywatne robią całkiem porządną dokumentację do swoich całkiem przyzwoitych systemów; lepszą niż udostępniana przez część sprzedawców komercyjnych rozwiązań, którzy najchętniej wszystko włącznie z dziurami i niedoróbkami ukryliby za kolorowym, tzw. “intuicyjnym” interfejsem z okrojonym dostępem administracyjnym.

      Działające backupy też od jakiegoś czasu nie są aż taką rzadkością. Ani redundancja. Zresztą IoT to system z kawałków; zrobiłeś raz, to po przewidywanym przez Ciebie wysypaniu się woluminu bez backupu zbudujesz drugi raz, zapewne lepiej i nie popełniając poprzednich błędów. Prawdopodobnie robiąc przy okazji dokumentację i konfigurując backup, bo już wiesz, po co.

      Rewersowania też nie ma co demonizować, to jedne z najprzyjemniejszych prac, przynajmniej dla mnie – wgryzanie się w to, co poprzednik miał na myśli i jak się da to wykorzystać :) Co prawda potrafi zająć trochę czasu, ale satysfakcja duża.

      Po prostu kwestia priorytetów – dla wielu lepsze zmagania z własnym niedoskonałym ale kontrolowalnym systemem, niż smart home jako usługa w pełni zależna od zewnętrznego dostawcy, z którym nie ma egzekwowalnego SLA i który 1) w każdej chwili może się zwinąć, bo zmieni model biznesowy, 2) ma gdzieś (w obu znaczeniach) dane userów.

    • @N3rdY Masz rację. To tak jakby wyznacznikiem poziomu muzyki było to co aktualnie jest najbardziej pożądane, czyli najpopularniejsze. Sporo ludzi, bez problemów finansowych myśli, że wszystko co jest im proponowane (reklamowane) jako luksusowe należy brać jak kiedyś złoto. Złoto nadal warto gromadzić, ale pokusa pseudo inwestycji w elektronikę jest większa.

      Miałem niedawno nieprzyjemność spędzenia prawie całej doby w tzw. bezpiecznym smart-domu, w którym smart-kamery były wszędzie na zewnątrz i w prawie każdym pomieszczeniu wewnątrz. Oprócz łazienek i toalet, gdyż te nie miały słabych punktów w postaci dużych okien. Właściciele od razu, bez pytania, powiedzieli, że kamery są tylko dla naszego “bezpieczeństwa” i tylko uruchomienie akcji alarmowych(?) powoduje przesłanie raportu wideo(?). Dlatego do łóżka wszedłem już przebrany w łazience i ostatni telefon, także wykonałem w łazience. Rano dopytując o szczegóły dowiedziałem się, że właściciele niewiele wiedzą na temat własnego tzw. bezpieczeństwa. Nie wiedzą co to ruter, a nawet jakim łączem są “zabezpieczani” i kto ma do tego wszystkiego dostęp. Wiedzą tylko pod jakie numery mogą dzwonić, gdy czują dyskomfort. Poza tym wszystko ładne, czyste, nowoczesne. Nawet pies dostawał automatycznie karmę o wyznaczonych godzinach z podajnika.

      Nigdy tam z własnej woli nie wrócę.

  5. Nie prościej wycinać taki ruch na routerze?

    • Czyli że … w pracy admin, w domu admin a gdzie czas dla siebie? nie lepiej zrezygnować w ogóle z tego typu “wodotrysków” ?

    • A zastanowił się Kolega że nad większością routerów typu pudełkowego z pewnego zakresu cenowego można stosunkowo niedrogimi kosztami przejąc kontrolę (głównie w wyniku błędów w oprogramowaniu ..) Pół biedy jeśli za nim stoi jakaś tylko wewnętrzna sieć z gigabajtami trefnych rzeczy albo kopalniami bitcoinów, gorzej jak cała infrastruktura domu/budynku :)

    • @wer

      Możesz wycinać w przypadku, gdy te dane nie są wymagane do poprawnej pracy Twoich urządzeń. Bo czasem są – i to jest właśnie główne źródło problemu.

      @Piotr

      Przecież nie ma problemu, możesz zrezygnować. To póki co hobby, nie obowiązek ;) A z hobby jest tak, że to co jeden uważa za stratę czasu, inny za ciekawe jego wykorzystanie.

  6. Współczuję tym którzy sobie instalują tego typu rozwiązania. Awaria “dostępu” do internetu, zasilania, czegokolwiek , i dziwne problemy. Ciekawe jak wygląda scenariusz wymiany wszystkich włączników światła, zamków etc po zwykłym przepięciu , albo wymiana ogrzewania podłogowego bo “coś tam” . Mieszkam w rejnonach gdzie różne dziwne rzeczy się dzieją z prądem , a podczas tych upałów, a później gwałtownych burz no potrafi sie dziać. Tak każdy ceni swoją prywatność, a płaci pewnie nie małe pieniądze za sprzęt, który tej prywatności zupełnie pozbawia. Jak to kiedyś powiedział mój znajomy z pracy, wszystko tandetnieje… Chyba zostanę przy swoim rozwiązaniu “głupiego” domu i robienia wszystkiego ręcznie.

    • Widać, że kolega to znawca tematu. Żadnych dziwnych problemów nie ma, jak nie ma internetu wszystko działa tak jak zwykłe urządzenia bez funkcji “smart” czyli trzeba ruszyć tyłek. A bez prądu, no cóż zwykłej żarówki też nie zapalisz jak nie ma prądu…

    • Na dziwne prundy to zawsze można sobie UPSy naszykowac.

  7. Należy podnieść kary za wyciek danych do poziomu, przy którym zbieranie ich będzie dla firm zadaniem bardzo ryzykownym. Tylko wtedy albo ograniczy się zbieranie informacji, albo przynajmniej będzie ich lepiej pilnować

    • Kara dla chińskiej firmy? Żartujesz?

    • Super pomysł! Tylko jak go wyegzekwujesz, jak producent jest z Chin?

    • Wystarczy embargo na niektóre towary (albo zaporowe cło). Chińczyki niewiele importują z UE żeby mieli na nas jakieś dotkliwe cła ponakładać.

  8. Chińską firmę guzik obchodzi jaka będzie kara dla europejskiej firmy.

  9. Niechby tam były maile i hasła którymi da się zalogować do Ebay lub Paypal… Do tego dokładne ip… Przecież któryś użytkownik na pewno ma uniwersalne hasło do wszystkiego.

  10. Pikolo, i co dadzą wysokie kary? myślisz że firmy szastaja danymi na lewo i prawo? wystarczy jeden blad, aktualizacja systemu, sterownika, programu do obsługi firmy i leżysz. Duże koncerny mając nawet zaplecze 1000 – 5000 programistów informatyków popełnia błedy, tylko kto cierpi? Pomyśl sobie teraz jak to wyglada przy jednoosobowej działalnosci lub kilkuosobowej. Nie masz pojęcia o czym piszesz tylko podnieść i podnieść (już mamy w Polsce grupę osób która tylko podnosi – chyba wiesz kogo mam na myśli?)

    • > myślisz że firmy szastaja danymi na lewo i prawo
      Nekoniecznie szastają, ale bezmyślnie używają technologii, których nie znają i nie rozumieją, i przez to sieją danymi użytkowników, świadomie bądź nie. I za to powinny być surowo karane. Jeżeli nie umiesz korzystać z rozwiązań IT (czytaj: nie chcesz godziwie zapłacić specjaliście za ich porządne zabezpieczenie), to sorry, ale zostaje Ci tylko zamykana na solidny zamek szafa z papierami. Wprawdzie Janusz biznesu nie będzie miał do niej zdalnego dostępu ze swojego smartfona z zawirusowanym Androidem, ale za to hakerzy się do niej też nie włamią.

  11. Albo można mieć smarthome który nie wymaga clouda – HomeAssistant – a spina wszystkie te urządzenia lokalnie.

  12. Zupełnie nie rozumiem, dlaczego niektórzy muszą mieć wszystko “smart”. Czy naprawdę komuś koniecznie potrzeba inteligentnego systemu zasłon? Czy tak trudno ruszyć z fotela cztery litery, żeby zasłonić okno? Najlepiej mieć wszystko “dumb” i nie mieć problemu. Może to mniej wygodne, bo nie wszystko zrobi się samo, ale zdecydowanie lepsze dla prywatności.

    • Kto wie :) – może to forma dowartościowania swojego ego ?
      cos podobnego jak ze ‘słynna długością samochodu ‘…

    • Po to, żeby chociażby podczas urlopu nikt z zewnątrz nie widział różnicy. Zasłony nadal chodzą, światło się zapala i gaśnie itp.
      Przy dobrze napisanym oprogramowaniu, system nauczy się jak i kiedy korzystamy z poszczególnych rzeczy, zabarwi to odpowiednią losowością i będzie to na prawdę trudne do rozróżnienia. W tym siedzi smart, a nie w możliwości sterowania apką z telefonu.

    • Ty naprawdę wierzysz w prewencyjną funkcję takiego udawania, że ktoś jest w domu?

      Skoro planujący włamanie złodziej jest w stanie obserwować dom i dostrzec zmiany świateł i zasuwanie rolet, to równie dobrze poczeka by zobaczyć czy ktoś z niego wychodzi. A jeśli przez 4-5 dni nikt z domu nie wychodzi i do domu nie wchodzi, to na 99% dom jest albo pusty, albo osoba w nim przebywająca jest obłożnie chora. Wtedy wystarczy zadzwonić do drzwi podając się za listonosza albo – co jeszcze skuteczniejsze – policję, której 99% Polaków otwiera drzwi bez żadnych dalszych pytań, zwłaszcza jak ich postraszyć karami za nieokazanie dokumentu, za utrudnianie postępowania itd.

    • Nie rozumiesz idei smart domu, ale nie dziwi mnie to, bo przede wszystkim mylisz też pojęcia jak wiele osób. Zdalne zarządzanie to nie to samo co inteligentny dom, chociaż osobiście nie lubie modnego i nadużywanego obecnie terminu “inteligentny”. Nazywajmy to automatyzacją.
      Automatyczne zasłanianie i odsłanianie okien to akurat jedna z przydatniejszych rzeczy. Wyobraź sobie, że w zależności od tego jaka jest pora dnia, poziom światła, czy ktoś przebywa w pomieszczeniu itd. okna automatycznie się zasłaniają albo odsłaniają. Zdalne zasłanianie ma też sens w przypadku gdy tych okien jest dużo. A to jest tylko jeden mały element automatyzacji. Przy bardziej rozbudowanym systemie możesz zrobić tak, że wychodząc z domu po prostu wychodzisz i niczym się nie przejmujesz. Światła, ogrzewanie, klimatyzacja, radio, telewizor gasną same, zamki same się zamykają, okna też mogą, albo możesz dostać informację, że któreś zostało otwarte. W upalny dzień wychodzisz z pracy i jedziesz do domu. Garaż i brama same się otwierają, wchodzisz do przyjemnie schłodzonego wnętrza, w tle gra Twoja ulubiona stacja radiowa.
      Pytanie dlaczego producenci do tego wszystkiego wymagają dzielenia się prywatnością jest retoryczne.

    • @Miki:

      > Pytanie dlaczego producenci do tego wszystkiego wymagają dzielenia się prywatnością jest retoryczne.

      W jakim sensie jest retoryczne?
      Wskazane przez ciebie cele automatyzacji (dobre cele) można osiągnąć projektując te systemy tak, że żadne dane z tak urządzonego domu nie wydostają się poza ten dom.

      Offtopic:

      Producenci sprzętu RTV i AGD przez dziesięciolecia zarabiali na ich sprzedaży i serwisowaniu, a nie na podglądaniu zachowań ludzi korzystających z tego sprzętu. Dlaczego dzisiaj miałoby być inaczej? Bo to modne, bo jest “cyfryzacja”, bo “smart”? Albo jeszcze głupszy argument: “i tak od tego nie odejdziemy”?

      Mam nadzieję, że ten kto będzie chciał, ten będzie mógl odejść.

    • Retoryczne, bo firmy po prostu chcą na klientach jeszcze więcej zarobić. Nasza prywatność oddana w ich ręce to towar, z którego wycisną ile się da. I owszem, można stworzyć automatykę domową bez wypuszczania danych poza ten dom, ale firmy nie mają w tym interesu.
      Ja unikam jak ognia rozwiązań, gdzie trzeba się dzielić danymi z różnymi podmiotami, ale nie oszukujmy się, większość ludzi ma znikomą świadomość, do tego marketoidzi skutecznie piorą mózgi i skutki są jakie są.

    • @Miki
      a poza tym, większość ludzi (a przynajmniej duża część) – nawet nieco świadomych jak działa komputer itd. – twierdzi, że nie mają nic do ukrycia, a wygoda jest warta utraty prywatności. Choć trzeba dodać, że oni tego “utratą prywatności” nie nazywają.

    • @Trans

      Ano, trochę zachłysnęły się firmy możliwością gromadzenia danych i wyciągania z nich wniosków. Niektórzy nie wyobrażają już sobie innego funkcjonowania na rynku. Potem robią produkty pod target, takie żeby zmaksymalizować sprzedaż, i uzyskać więcej informacji o targecie, żeby sprzedać mu więcej chłamu, pardon, “nowych” produktów. Przy okazji gromadzą nadmiarowe dane, których jeszcze nie umieją wykorzystać. Mielą je w kółko, licząc że ilość przejdzie w jakość.

      Żeby się z tego wywinąć jako klient, trzeba się nakombinować, dużo uczyć, zachowywać czujność i otwartość na nietypowe rozwiązania. Nie każdy to umie i nie każdy chce. Niektóre lock-iny trudno obejść (co nie znaczy, że nie warto próbować). Mnie np. zadziwiło ostatnio, że żeby zrobić zdjęcie dronikiem, mam ściągnąć apkę, zarejestrować się w zewnętrznym serwisie i włączyć lokalizację. Mój dronik, mój telefon, prywatny teren, a żeby tego użyć razem, miałbym wysyłać wszystkie dane z lokalizacją i zdjęciami na drugi koniec świata na niedookreślone serwery? Zabawne. Oczywiście, że zrobię to inaczej. Tyle że muszę ciut się pomęczyć i poeksperymentować, nie mogę wziąć gotowego rozwiązania => opóźnienie.

      Żeby się z tego wywinąć jako producent – hm. Dobre pytanie. Na ile da się zachować konkurencyjność, gromadząc mniej danych niż rywale? Trochę to widać na niesprzętowym przykładzie wyszukiwarek – weźmy model biznesowy DuckDuckGo w porównaniu do modelu biznesowego Google. Twierdzą, że wychodzą na swoje, ale oczywiście obrót (zarówno danych jak finansowy) mają mniejszy. Z drugiej strony – czy to źle? Im więcej mamy danych, tym trudniej je analizować, trudniej skutecznie zabezpieczyć = potrzebujemy kolejnych zasobów (ludzi, sprzętu, itd) = większe koszty. Im mniej danych, tym można mieć sprawniejszą “lżejszą” firmę. Nie trzeba mielić bez sensu “śmieci na wejściu”, można skoncentrować się na patrzeniu do przodu i innowacjach. Tyle że do tego potrzebni są inteligentniejsi ludzie, mniej przyziemni. Ciekawe pytanie.

  13. Może mi ktoś wytłumaczyć po co producent ma lokalizację, email i hasła do logowania sprzedanych urządzeń? Przecież to aż się prosi żeby wyciekło.

    • Właśnie po to. :)

    • @Ja 01234

      Zazwyczaj po to, żeby sprzedawać użytkownikowi kolejne elementy systemu.

  14. Już nie cieknie :)

    https://twitter.com/ORVIBO/status/1146322067609939969

    Ale Orvibo oczywiście twierdzi, że zareagowało od razu po otrzymaniu raportu :P.

  15. A ja uważam, ze to po, części oczywiście, jest wina samych użytkowników. Bo , wiwielu miejscach już można znaleźć dość szczegółowe informacje i opisy tego – jak działają takie sieci typu smart-dom (bo nie napiszę już urządzenia skoro są to całe struktury informatyczne) . I, skoro ludzie – potencjalni klienci – czytają że środowisko jest scentralizowane i że zarządzanie/wymiana danych jest możliwa z zewnątrz (w rozumieniu że przez internet) – t o w zasadzie jasnym jest do czego to (może) prowadzić.

    W takich wypadkach, zanim się poleci na coś – z instynktem leminga – czyli bez jakiejkolwiek refleksji i próby wyobrażenia sobie “jak TO może zadziałac nie tylko koniecznie na moją korzyść”, czyli popularnym pytaniem “a co, jeśli ? ” – to można powiedzieć że, wzorem znanej zasady prawa rzymskiego “volenti non fit iniuria” (czyli chcącemu nie dzieje się krzywda) – mamy tutaj do czynienia z typową szkodą na życzenie. A więc i podnosić larum ani ubolewać nad rozlanym mlekiem nie bardzo jest jak.

    Osobiście jesli juz byłbym zwolennikiem tego typu rozwiązań to tylko i wyłącznie autonomicznych -a więc całkowicie odizolowanych od sieci zewn. (nie tylko logicznie ale i fizycznie – na ile to oczywiscie mozliwe) oraz trzeba by przemysleć zawarcie w samej strukturze zarządzania kilku(nastu) zabezpieczeń które mogły by człowiekowi pomóc odzyskać kontrolę nad systemem który by uległ np. częściowej dysfunkcji. Tutaj żywo przypominają się sceny z filmu Odyseja Kosmiczna 2001 Kubricka/Clarcka czy strony z rodzimych “Opowiesci o pilocie Pirxie” Lema. :) :P

    Ale to dowodzi tylko tego, że o własne bezpieczeństwo trzeba trochę się postarać – a jeśli ktoś obiecuje że “zrobi to za Was” w stylu w jakim reklamują to kolejni producenci tego typu istniejących już kompleksowych rozwiązań to najprawdopodobniej – ‘sromotnie Was okłamuje’ :)
    i liczy tylko kilozłotówki (kilodolary) które może na tym zarobić.
    Choc oczywiście, są mozliwości żeby zrobić to dobrze (albo tylko znacznie lepiej), no ale nie bedą się one opierać zapewne o tak wysublimowane metody zabezpieczeń jak przechowywanie danych o których mowa w Artykule – w bazie danych tak profesjonalnie zabezpieczonej. Koniec końców -sprawdza się tutaj stare porzekadło – “co tanie to drogie” tyle że w odniesieniu do własnego bezpieczeństwa . Własnego i swoich bliskich …

    Dobrze jak sie kończy na etapie pośmiania się ze znalezienia sowich danyc h, adresu i innych informacji – w upublicznionej bazie danych … :)

    • Da się wszystko zrobić jeśli “dizajn” jest dobry. Ale ktoś przed zakupem musi ten dizajn ocenić i podjąć decyzję czy wystawiamy naszą gołą d…. do oglądania w chińskim uniwersytecie.
      Można kupić sprzęty takie i takie. Ale trzeba zadać sobie odpowiednie pytania i poszukać na nie odpowiedzi. Na przykład redakcja mogłaby zrobić przegląd znanych marek robotów odkurzaczy, wymaganych przez producenta konfiguracji firewalli bo przecież odkurzacz można uruchomić i konfigurować z każdego miejsca na świecie (!). A to że odkurzacz sam sobie aktualizuje software, i w każdej chwili może ściągnąć wersje która obraz z wbudowanej kamery wysyła poza mieszkanie i dokładne jego zdjęcia publikuje gdzieś – to już wisienka na torcie.
      Wiadomo że frajerzy kupią takie coś, ale trzeba upubliczniać jak bardzo jest to bezpieczne.

  16. zgłaszam to do rodo!!

  17. Miałem listwę zasilającą tego producenta. Oddałem do utylizacji zaraz po tym jak odkryłem, że w jednym miesiącu wygenerowała ruch w górę sieci >1GB, a połączenia miała zestawione z IP wskazującymi na jeden z chińskich uniwersytetów……

  18. Ja jakiś zacofany jestem, bo nie rozumiem, dlaczego soft, hasła i moje dane są w chmurze i jest to potrzebne do odsuwania zasłon i włączania światła…

    • Potrzebne są tam, bo dzięki temu system działa zdalnie nawett jak nie masz zewnętrznego IP – serwer producenta jest traktowany jako bramka.

    • część ludzi uważa że 5-10 zł miesięcznie za stałe publiczne IP to znacznie drożej niż komplet danych o nich dostępny online (w niektórych przypadkach może to być prawdą niestety)

  19. I miej taką kamerkę w domu w sypialni… nie dziękuję ;)

  20. Już tysiące lat temu były smart domy. Żony, kochanki i służba. Też były wycieki danych, podglądanie i wirusy dostawały się do środka. Ciekawe kiedy człowiek zacznie się zmieniać, zamiast kręcić się w kółko za własnym ogonem.

  21. Przez to całe “smart” za jakiś czas wszyscy będziemy wyglądali jak te grubasy z kreskówki Wall-e ;o)

  22. dlatego coraz bardziej przyszłościowa staje się branża bezpieczeństwa, cyber bezpieczeństwo niedługo będzie jedną z ważniejszych działalności same kary tak jak pisał Piotr nic nie dadzą i moim zdaniem problem leży u podstaw systemu kto jak ma zabezpieczać

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: