“
Un enorme fallo de seguridad ha resultado en la filtración de 2.700 millones de registros pertenecientes a Mars Hydro de China. La empresa se dedica al cultivo interior y la hidroponía, que es el proceso de cultivo de plantas sin suelo. La empresa ofrece luces de cultivo LED, tiendas de cultivo y otros productos. Debido a que muchos de los productos que ofrece están controlados por teléfonos inteligentes, la información sobre los diferentes tipos de teléfonos y redes Wi-Fi utilizadas por sus clientes se incluyó en el fallo de seguridad. También se filtró el sistema operativo utilizado por estos teléfonos (iOS o Android).
Aplicación de iOS de Mars Hydro listada en la App Store. | Crédito de la imagen-PhoneArena
Los ataques de intermediario son graves porque implican a un atacante que se coloca secretamente en medio de dos partes que mantienen una conversación en línea no cifrada. El atacante puede cambiar la conversación enviada de una parte a la otra sin que ninguno de los participantes en la conversación sea consciente de que esto estaba ocurriendo. Como resultado, este fallo de seguridad podría llevar a ataques de suplantación y escuchas.
Aún no está claro si la base de datos involucrada en el fallo de seguridad era administrada y propiedad directa de Mars Hydro y LG-LED SOLUTIONS o si era gestionada por un tercero contratado para manejar los datos. Cabe señalar que Mars Hydro diseña y fabrica sus productos en Shenzhen, China, mientras que posee almacenes en el Reino Unido y Estados Unidos.
Como mencionamos, los teléfonos inteligentes se utilizan para controlar algunos de los productos disponibles de Mars Hydro, por lo que esta última tiene una aplicación disponible tanto en la App Store como en la Google Play Store. Las aplicaciones están disponibles en chino, inglés, francés y alemán. Los avisos de privacidad para la aplicación en ambas tiendas de iOS y Android dicen que estas aplicaciones no recopilan datos de usuario. Sin embargo, es posible que los registros filtrados contuvieran credenciales y detalles de conectividad que se obtuvieron de los dispositivos IoT ofrecidos por Mars Hydro una vez que se conectaron a la red local del usuario víctima.
Hasta ahora, no ha habido evidencia de que los datos filtrados fueran obtenidos por un atacante listo para usarlos con fines maliciosos. Siempre existe la posibilidad de que un gobierno extranjero obtenga la base de datos y la utilice para recopilar información o con fines de vigilancia.
“