28 февраля 2017 г.

Плюшевые игрушки записывали разговоры и сливали в свободный доступ

Производители небезопасных интерактивных игрушек и детских гаджетов стараются успевать за прогрессом, но все чаще забывают подумать о безопасности.

Недавно исследователь Трой Хант (Troy Hunt) обнаружил серьезную проблему с безопасностью у интерактивных зверей CloudPets, произведенных компанией Spiral Toys. Эти плюшевые зверюшки позволяют родителям записывать голосовое сообщение для своих детей через специальное приложение и отправлять их игрушке. Игрушка озвучит полученное сообщение ребенку, а также позволит ему ответить, тоже записав звуковое сообщение.

Исследователь обнаружил в свободном доступе базу данных, содержащую данные 821 296 аккаунтов CloudPets (email-адреса, имена, пароли, защищенные bcrypt) и 2 182 337 аудиозаписей, которыми обменивались дети и их родители. Судя по всему, виновником утечки являлась румынская компания mReady, с которой как-то сотрудничает Spiral Toys. Хант отмечает, что, несмотря на использование bcrypt, большинство паролей настолько просты, что взломать их не составляет большого труда (например, 123456 или cloudpets).

Хуже всего, что за период с 25 декабря по 8 января доступ к базе данных успели получить все, кто только мог, включая злоумышленников. Данные в ней перезаписывались как минимум дважды, а разные группировки оставили в базе данных три сообщения с требованием выкупа.

Исследователь уточняет, что сами голосовые сообщения хранились не в базе, а в bucket Amazon S3, однако доступ к облаку не требовал аутентификации. Так как в руках злоумышленников были ссылки на сообщения, прослушать их они могли свободно.
 «Лишь одна маленькая ошибка со стороны хранителя данных, и вся информация, которую они имеют на вас и вашу семью, в считанные минуты окажется на публичном домене. Если вас устраивает, что аудиозаписи ваших детей осядут в непредсказуемых местах, дело ваше, но вам стоит хорошо обдумать это предположение, потому что велик шанс, что это действительно произойдет», — пишет Хант.
Cвязаться с представителями Spiral Toys, ему не удалось. Хант пытался писать, звонить, перепробовал все социальные сети, где представлена компания, но так и не добились никакого эффекта.

Привлечь внимание компании удалось лишь после публикации информации об утечке. После выхода статьи Троя Ханта представитель Spiral Toys дал комментарий изданию NetworkWorld. Глава компании Марк Майерс (Mark Myers) отрицает абсолютно все, начиная от взломов базы данных и требований выкупа и заканчивая тем, что кто-то мог прослушать и похитить аудиозаписи пользователей. Кроме того, Майерс заявил, что Spiral Toys не получала от исследователя ни единого предупреждений. С подробными доказательствами обратного можно ознакомиться в блоге Троя Ханта.

Toys CloudPets
Читайте также
Серьезная уязвимость Cloudflare приводила к утечкам конфиденциальных данных с сайтов клиентов сервиса


Комментариев нет:

Отправить комментарий