С игрушечными медведями опасно делиться секретами

Александр
CloudPets

Интерактивные игрушки CloudPets, созданные американской компанией Spiral Toys, записывали разговоры детей и родителей и сливали записи в интернет, где они были доступны любому. Об этом в своём блоге рассказал Трой Хант, создатель сайта Have I Been Pwned?, который следит за утечками пользовательских данных из интернет-сервисов.

Плюшевые медведи, собачки, слоники, кошки, единороги и другие милые плюшевые игрушки из-за безалаберности Spiral Toys превратились в шпионские устройства, а их обладатели подверглись нападкам злоумышленников и даже шантажу.

Компания Spiral Toys позволяет родителям записывать послания для детей через мобильное приложение и отправлять их на игрушки. После того, как игрушка озвучит послание ребёнку, он может ответить, записав ответ, который будет отправлен родителям.

CloudPets

Трой Хант нашёл в свободном доступе базу данных, слитую у Spiral Toys. Предполагается, что источником утечки стала румынская компания mReady, которая оказывает Spiral Toys какие-то услуги. В этой базе содержалась информация о 821 296 учётных записях: имена, фамилии, логины, пароли, адреса электронной почты, а также 2 182 337 аудиозаписей с посланиями детям и родителям. Хант отмечает, что многие пользователи использовали очень простые пароли для сервиса CloudPets, и эти пароли вполне могут подойти к другим учётным записям пользователей (например, к email).

База данных CloudPets использовалась злоумышленниками — она несколько раз перезаписывалась, и в ней обнаружены данные, свидетельствующие о том, что кто-то вымогал у пользователей деньги в обмен на удаление информации. Голосовые сообщения хранились на сервере Amazon S3, причём доступ к ним осуществлялся без аутентификации, то есть их мог прослушать любой желающий. В базе данных содержалась информация, которая позволяла определить, какому пользователю принадлежат те или иные записи.

Глава Spiral Toys Марк Майерс отрицает всё, что можно, даже самое очевидное: сам факт взлома, требование выкупа за удаление записей, а также возможность послушать чужие сообщения. По его словам, ни один пользователь игрушек CloudPets не высказал компании претензий. Трой Хант утверждает обратное и говорит, что проблема была устранена только после того, как он опубликовал подробное расследование.

Этот инцидент лишний раз доказал, что создатели инновационных гаджетов стараются успевать за прогрессом, но совершенно забывают о простейших мерах безопасности для своих пользователей.
3
Источник:

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+853
Подарите девушке плюшевого мишку и слушайте как она обсуждает вас с мамой и подругами , а потом и остальные послушают ! :)
28 февраля 2017 в 21:31
#
+386
Я уж молчу что инфа гугл и эпл тоже собирается)
28 февраля 2017 в 21:57
#
–8
Опять русские хакеры?
1 марта 2017 в 20:17
#
+49
Да не, в этот раз Румынские)))
3 марта 2017 в 00:06
#