Ursuleț de jucărie inteligent, implicat într-o breșă de securitate
Producătorul jucăriei a avut de-a face cu o breșă de securitate serioasă, conform cercetătorilor în securitate, dar compania neagă furtul oricăror înregistrări vocale.
Deținătorii de jucării de pluș de la CloudPets ar trebui să își schimbe parola. Jucăriile – care pot trimite și primi mesaje înregistrate de la copii și părinți – au fost implicate într-o breșă de securitate care vizează mai mult de 800.000 de conturi de utilizator, scrie csoonline.com.
Breșa care a atras atența luni îngrijorează cercetătorii în securitate deoarece este posibil să fi oferit hackerilor acces la înrgistrări vocale ale cliențiloor jucăriilor. Dar compania Spiral Toys, care le produce, neagă aceste afirmații.
Cercetătorul specializat în securitate cibernetică, Troy Hunt, care se ocupă cu urmărirea breșelor de securitate a dezvăluit luni incidentul. Se pare că hackerii au accesat o bază de date CloudPets expusă, care conținea adrese de e-mail și parole codate cu ajutorul unei funcții hash, și chiar au încercat să obțină o răscumpărare pentru ele în luna ianuarie, conform unei postări pe blog.
Parolele expuse în cadrul breșei sunt criptate cu algoritmul bcrypt, ceea ce face dificilă decriptarea lor, dar din nefericire CloudPets nu a creat cerințe pentru întărirea parolelor. Prin urmare, Hunt a obținut o copie a datelor furate și a putut descifra un mare număr de parole, prin simpla verificare a color mai folosite ca qwerty, 123456 și cloudpets.
Se pare că în urma incidentului, hackerii au șters bazele de date și au lăsat bilete de răscumpărare, a spus Hunt. Deși acum nu mai sunt accesibile, producătorul de jucării nu a informat clienții despre breșă. Dar, Mark Myers, CEO-ul companiei a spus că nu a găsit dovezi că hackerii au accesat conturile clienților. Pentru a-și proteja utilizatorii, compania plănuiește o resetare a parolelor pentru toți clienții. „Poate soluția este să punem parole mai complexe,” a declarat el.
Incepand din prima zi de Craciun din 2016 si pana la sfarsitul primei saptamani din ianuarie 2017, compania Spiral Toys a publicat datele personale ale clientilor brandului sau CloudPets intr-o baza de date online care nu se afla in spatele unui firewall si nici nu era protejata printr-o parola. Acea baza de date – disponibila pe platforma MongoDB – era usor de gasit cu ajutorul Shodan, un motor de cautare online care descopera cu usurinta site-urile si serverele neprotejate, potrivit unor experti in securitate online, care au gasit si inspectat acea baza, scrie hotnews.ro.
Vestea despre accesarea frauduloasa a CloudPets a venit doar la cateva zile dupa ce Germania si-a avertizat parintii in legatura cu faptul ca o papusa conectata la internet poate sa le “spioneze” copiii si a ordonat retragerea jucariei din magazine. Este, de asemenea, cel mai recent episod stanjenitor din domeniul securitatii online pe care il sufera producatorii de jucarii. Cel mai grav dintre acestea s-a produs atunci cand VTech, o companie din Hong Kong, a perdut datele personale ale unui numar de 6,3 milioane de copii si 4,8 milioane de parinti, inclusiv selfie-uri si mesaje private ale acestora.
