1. juulil teatas häkkerite kogukond vpnMentor, et leidis Internetist tohutu andmebaasi, kuhu pääses paroolita ja muude oluliste takistusteta sisse kiikama. Andmebaasis asusid Orvibo nutikodu pilveteenuse seadmete andmed - miljardite targa kodu andurite kirjed, mis sisaldasid muuhulgas ka salasõnu ja salasõnade ümbermuutmise koode.
Kuigi need viimased olid krüpteeritud MD5 algoritmiga, saab toore jõuga paroolid siiski lahti murda, sest kasutatud polnud täiendavat "soolamist" ehk enne MD5-ga krüpteerimist iga salasõna lõppu mingi lisakoodi lisamist - see oleks teinud toore jõuga lahtimurdmise väga raskeks.
Orvibo on Asjade Interneti pilveteenuse pakkuja ning nutikate IoT seadmete tootja, neid kasutatakse targa kodu lahendustes, samuti nutikates kontorites ning isegi hotellilahendustes.
Lekkinud Asjade Interneti seadmete andmetest võis välja lugeda e-posti aadressi, salasõna, salasõna uuendamise koodi (mis saadetakse kasutaja e-postile, kui tal parool meelest läinud), anduri geograafilised koordinaadid, IP aadress, kasutajanimi, pere nimi (näiteks kui nutiseadmed on registreeritud ühe perekonna kasutatavas kodus), seadme nimi ja palju muud. Seega kõik vajalik, et Asjade Interneti seadmed üle võtta. Seda saab teha kasutaja teadmata, kuna lekkis ka salasõna muutmiseks vajalik kood. Seda koodi kasutades võib nutikodu seadmete ligipääsu üle võtta ja teha, mida ise tahad. Kuna lekkinud seadmete seas oli ka nutilukke, nutipistikuid ja turvakaameraid, oleks võimalik võõras kodus väga palju pahandust teha.
Eestis tundub, et Orvibo seadmeid kohalikud poed ei müü. Neid aga saab osta välismaistest e-poodidest ja kindlasti on seda ka tehtud, sest Orvibo nutipistikuid on olnud müügil näiteks Osta.ee keskkonnas.
VpnMentor võttis tootjaga ühendust 16. juunil, kuid midagi ette ei võetud. Andmebaas jäi netis avalikult kättesaadavaks kõigile. 1. juulil kirjutasid turvaaugu avastajad sellest avalikult. 2. juulil korjas Hiina tootja andmebaasi netist ära. Kuid mis korra juba lekkinud, seda pole võimalik pärast enam ära peita.
2. juulil kirjutas lekkest ka Forbes. Selles artiklis on täpselt ära toodud, kui suur oli leke ja kui oluliselt see kahjustas miljonite kasutajate privaatsust.
Praeguseks on lisatud täiendus, et andmebaasileke suleti 2. juulil 2019.