تستمر نماذج جديدة من الأجهزة الذكية في الظهور كل يوم. في الوقت الحاضر ، الأدوات ليست مجرد ساعات أو أجهزة تتبع أو مفاتيح تحويل. حتى لعب الأطفال أصبحت أكثر ذكاءً. على سبيل المثال ، تقوم Cloud Pets بتصنيع الألعاب المتصلة بالإنترنت والتي تسمح للأطفال والآباء بتبادل الرسائل الصوتية. يتم إرسال المعلومات لاسلكيًا عند توصيل نظام اللعبة بهاتف أو جهاز لوحي باستخدام تطبيق خاص مثبت مسبقًا. عند الضغط على قدم اللعبة ، ينشط الطفل اللعبة ويمكنه إرسال رسالة صوتية تصل إلى الهاتف الذكي. يستخدم الوالدان بدورهما جهازًا محمولًا لإرسال رسائل صوتية. بمجرد وصول هذه الرسالة ، يبدأ وميض الضوء على شكل قلب في اللعبة. من خلال النقر عليها ، يمكن للطفل الاستماع إلى رسالة أمي أو أبي.
المبدأ بسيط للغاية ، لذلك يمكن للأطفال الذين تتراوح أعمارهم بين 3-7 سنوات وما فوق استخدام نظام الاتصال هذا. بفضل ميزاته ، أصبحت ألعاب Cloud Pets تحظى بشعبية كبيرة. يتم تمرير آلاف الرسائل من أصحاب الدببة الذكية أو الأبقار أو الخنازير عبر خادم الشركة كل يوم ، ويتم تخزين السجلات في السحابة ، في حالة رغبة مالك اللعبة في الاستماع إلى الرسائل مرة أخرى. لسوء الحظ ، لم يهتم المطورون كثيرًا بأمان البيانات المخزنة في المنزل. تم اختراق الخوادم من قبل مجرمي الإنترنت الذين سرقوا البيانات من أكثر من 800000 حساب إلى جانب الرسائل الصوتية.
في الحادث ، يجدر إلقاء اللوم على الشركة ، لأنه تم تخزين حسابات المستخدمين في قاعدة بيانات MongoDB ، والتي لم يتم إغلاقها بكلمة مرور أو جدار حماية. في الواقع ، كانت المعلومات واضحة. اكتشف المهاجمون ، وفقًا لخبراء أمن الشبكة ، هذه المعلومات باستخدام خدمة بحث Shodan ، والتي تتيح لك البحث عن أجهزة إنترنت الأشياء والخدمات والمواقع المتصلة بالشبكة وغير المحمية من التداخل الخارجي.
دفاعًا عن الشركة ، يمكننا القول أن المعلومات الموجودة في قاعدة البيانات تم تشفيرها باستخدام
bcrypt . ولكن تبين أن معظم كلمات مرور المستخدم بسيطة للغاية لدرجة أن المهاجمين قاموا بتكسيرها دون صعوبة كبيرة. نحن نتحدث عن مستوى حماية بياناتهم بكلمات مرور مثل "12345".
كما اتضح ، وضع المهاجمون أيديهم في قاعدة البيانات أكثر من مرة ، ولكن مرتين على الأقل. بالإضافة إلى ذلك ، درس خبراء أمن المعلومات أيضا. بالمناسبة ، غالبًا ما يبحث المهاجمون عن قواعد بيانات MongoDB من أجل حقن البرامج الضارة بدلاً من معلومات المستخدم المخزنة فيها. لا ينبغي أن يفاجأ المرء بما حدث: يقول الخبراء طوال الوقت أن الشركات المصنعة لأجهزة إنترنت الأشياء تولي اهتمامًا كبيرًا لوظائف منتجاتها وتصميمها ، ولكن لسبب ما ليسوا قلقين بشأن حماية خدماتهم ومواقعهم من التدخل الخارجي.
يقول أحد الخبراء المشاركين في تحقيق القرصنة أنه من أجل مشاركة بيانات مستخدمي الألعاب الذكية ، هناك خطأان صغيران من مطوري الخدمات السحابية التي ترتبط بها هذه الألعاب. حسنًا ، وإذا لم يكن لديك ما يدعو للقلق بشأن الأمن على الإطلاق ، فلا يجب أن تتوقع أي شيء جيد.
ليس فقط CloudChat لديه مشاكل في حماية معلومات المستخدم. قبل عامين ،
حدث موقف مماثل مع بيانات مستخدمي شركة ألعاب أخرى ، VTech. ثم تدفقت أكثر من 4.8 مليون سجل في الشبكة ، بما في ذلك البريد الإلكتروني ، وتواريخ الميلاد ، وما إلى ذلك. كان لدى VTech بعض البيانات المخزنة بشكل عام بشكل واضح ، لذلك كان القرصنة مسألة وقت فقط. أما بالنسبة لـ CloudChat ، فقد تلقى مجرمو الإنترنت هنا بيانات حسابات 821396 مستخدمًا و 371.970 حسابًا متصلًا وأكثر من 2 مليون رسالة صوتية.
مع المراسلة الصوتية ، يختلف الوضع قليلاً عن قاعدة البيانات. لم يتم تخزين التسجيلات الصوتية في قاعدة بيانات مخترقة. بدلاً من ذلك ، استضافتهم الشركة على خوادم Amazon S3 ، بدون مصادقة مطلوبة للوصول. للاستماع إلى الرسائل ، ما عليك سوى عنوان URL للملف. ولكن تم تخزين الروابط إلى الصوت في حسابات قاعدة البيانات المخترقة. عند اختراق الحسابات ، يتلقى المهاجمون جميع البيانات المخزنة ، بما في ذلك عنوان URL لجميع الرسائل المرسلة أو المستلمة من قبل المستخدم.
الأسوأ من ذلك كله ، تم اختراق خوادم الشركة في ديسمبر من العام الماضي ، لكن الشركة المصنعة للألعاب لم تخطر المستخدمين بالمشكلة حتى الآن. حاول بعض خبراء الأمن السيبراني الاتصال بممثلي Cloudsites ، ولكن لم يأت رد فعل. ونتيجة لذلك ، في 12 يناير ، تم مسح قاعدة البيانات من قبل
المهاجمين التاليين الذين كانوا يبحثون عن خوادم MongoDB غير آمنة.
"حاولت الاتصال عبر البريد الإلكتروني و Linkedin و Zendesk و Twitter. حتى أنني حاولت الاتصال بالأشخاص باستخدام عناوين البريد الإلكتروني الخاصة. يقول فيكتور جيفيرز ، رئيس مؤسسة GDI غير الربحية ، التي تحقق في حالات القرصنة: "لا يوجد رد".
الآن عن القرصنة أصبح معروفًا ، وبدأ الآباء الذين اشتروا أطفالهم ألعابًا ذكية من Cloud Pets في القلق. "أسوأ خوفي هو أن يستخدم شخص ما هذه المعلومات لإرسال رسائل إلى ابنتي البالغة من العمر ست سنوات. قال جيسون باجيل ، أحد الحاضرين في الحلقة الدراسية ، الذي تحدث فيه خبراء الأمن السيبراني مع تقرير عن تسرب البيانات من خوادم كلاودفيكس ، إن والدي بالتأكيد لن يرسا رسائل إلى حفيدته بهذه الطريقة.
يجادل ممثلو الشركة ، بدورهم ، بأنه لا يوجد دليل على أن المفرقعات تلقت معلومات حساب المستخدم. ومع ذلك ، ستقوم Cloudsites بإعادة تعيين كلمات المرور لجميع المستخدمين كإجراء أمني.