2 Millionen Nachrichten von CloudPets Smart-Kinderspielzeug flossen in das Netzwerk

Täglich erscheinen neue Modelle intelligenter Geräte. Heutzutage sind Gadgets nicht nur Uhren, Tracker oder Schalter. Sogar Kinderspielzeug wird schlauer. Beispielsweise stellt CloudPets mit dem Internet verbundenes Spielzeug her, mit dem Kinder und Eltern Sprachnachrichten austauschen können. Informationen werden drahtlos übertragen, wenn das Spielsystem mit einer vorinstallierten proprietären Anwendung an ein Telefon oder Tablet angeschlossen wird. Das Kind drückt den Fuß des Spielzeugs, aktiviert das Spielzeug und kann eine Sprachnachricht senden, die auf dem Smartphone ankommt. Eltern wiederum verwenden ein mobiles Gerät, um Sprachnachrichten zu senden. Sobald diese Nachricht eintrifft, beginnt das herzförmige Licht im Spielzeug zu blinken. Durch Klicken darauf kann das Kind die Nachricht von Mama oder Papa hören.

Das Prinzip ist recht einfach, sodass Kinder von 3 bis 7 Jahren und älter dieses Kommunikationssystem verwenden können. Spielzeug von CloudPets ist dank seiner Funktionen sehr beliebt geworden. Täglich gingen Tausende von Nachrichten von Besitzern von intelligenten Bären, Kühen oder Schweinen über den Server des Unternehmens, und die Aufzeichnungen wurden in der Cloud gespeichert, falls der Besitzer des Spielzeugs die Nachrichten erneut abhören möchte. Leider haben sich die Entwickler nicht allzu sehr um die Sicherheit der zu Hause gespeicherten Daten gekümmert. Server wurden von Cyberkriminellen kompromittiert, die Daten von mehr als 800.000 Konten zusammen mit Sprachnachrichten gestohlen haben.

In diesem Fall lohnt es sich, dem Unternehmen die Schuld zu geben, da Benutzerkonten in der MongoDB-Datenbank gespeichert wurden, die nicht durch ein Kennwort oder eine Firewall geschlossen wurde. Tatsächlich waren die Informationen klar. Laut Netzwerksicherheitsexperten haben die Angreifer diese Informationen mithilfe des Shodan-Suchdienstes entdeckt, mit dem Sie nach IoT-Geräten, -Diensten und -Sites suchen können, die mit dem Netzwerk verbunden und nicht vor Störungen von außen geschützt sind.

Zur Verteidigung des Unternehmens können wir sagen, dass die Informationen in der Datenbank mit bcrypt verschlüsselt wurden . Die meisten Benutzerkennwörter erwiesen sich jedoch als so einfach, dass Angreifer sie ohne große Schwierigkeiten knackten. Wir sprechen über das Schutzniveau ihrer Daten mit Passwörtern wie "12345".



Wie sich herausstellte, legten die Angreifer ihre Hände mehr als einmal, aber mindestens zweimal in die Datenbank. Darüber hinaus untersuchten es auch Experten für Informationssicherheit. Übrigens suchen Angreifer am häufigsten nach MongoDB-Datenbanken, um schädliche Software anstelle der darin gespeicherten Benutzerinformationen einzuschleusen. Man sollte sich nicht wundern, was passiert ist: Experten sagen immer wieder, dass Hersteller von IoT-Geräten der Funktionalität und dem Design ihrer Produkte viel Aufmerksamkeit schenken, aber aus irgendeinem Grund sind sie nicht allzu besorgt darüber, ihre Dienste und Websites vor externen Störungen zu schützen.

Einer der an der Hacking-Untersuchung beteiligten Experten sagt, dass einige kleine Fehler der Entwickler von Cloud-Diensten, mit denen sich solche Spielzeuge verbinden, ausreichen, um die Daten der Benutzer von Smart Toys zu teilen. Nun, und wenn Sie sich überhaupt keine Sorgen um die Sicherheit machen müssen, müssen Sie nichts Gutes erwarten.

Nicht nur CloudPets hat Probleme beim Schutz von Benutzerinformationen. Vor zwei Jahren trat eine ähnliche Situation aufmit Benutzerdaten eines anderen Spielzeugherstellers, VTech. Dann flossen mehr als 4,8 Millionen Datensätze in das Netzwerk, einschließlich E-Mail, Geburtsdatum usw. VTech hatte einige Daten im Allgemeinen im Klartext gespeichert, sodass das Hacken nur eine Frage der Zeit war. Bei CloudPets erhielten Cyberkriminelle Kontodaten von 821.396 Benutzern, 371.970 verbundenen Konten und mehr als 2 Millionen Sprachnachrichten.

Bei Sprachnachrichten ist die Situation etwas anders als bei der Datenbank. Audioaufnahmen wurden nicht in einer gehackten Datenbank gespeichert. Stattdessen hat das Unternehmen sie auf Amazon S3-Servern gehostet, ohne dass eine Authentifizierung erforderlich ist, um Zugriff zu erhalten. Zum Abhören der Nachrichten benötigen Sie nur die URL der Datei. Die Links zum Audio wurden jedoch in den Konten der gehackten Datenbank gespeichert. Beim Hacken von Konten erhalten Angreifer alle gespeicherten Daten, einschließlich der URL aller vom Benutzer gesendeten oder empfangenen Nachrichten.

Am schlimmsten war, dass die Server des Unternehmens bereits im Dezember letzten Jahres kompromittiert wurden, aber der Spielzeughersteller hat die Benutzer immer noch nicht über das Problem informiert. Einige Cybersicherheitsexperten versuchten, Vertreter von CloudPets zu kontaktieren, aber es kam keine Reaktion. Infolgedessen wurde die Datenbank am 12. Januar gelöschtDie nächsten Angreifer suchen nach unsicheren MongoDB-Servern.


„Ich habe versucht, per E-Mail, Linkedin, Zendesk und Twitter Kontakt aufzunehmen. Ich habe sogar versucht, Leute über private E-Mail-Adressen zu kontaktieren. Es gibt keine Antwort “, sagt Victor Gevers, Vorsitzender der gemeinnützigen GDI Foundation, die Hacking-Fälle untersucht.

Jetzt wurde das Hacken bekannt und Eltern, die ihren Kindern intelligentes Spielzeug von CloudPets kauften, begannen sich Sorgen zu machen. „Meine schlimmste Angst ist, dass jemand diese Informationen verwendet, um Nachrichten an meine sechsjährige Tochter zu senden. Meine Eltern werden auf diese Weise sicherlich keine Nachrichten mehr an ihre Enkelin senden “, sagte Jason Pagel, ein Seminarteilnehmer mit Cybersicherheitsexperten, die über Datenlecks von CloudPets-Servern berichteten.

Vertreter des Unternehmens argumentieren wiederum, dass es keine Beweise dafür gibt, dass Cracker Benutzerkontoinformationen erhalten haben. CloudPets wird jedoch aus Sicherheitsgründen Kennwörter für alle Benutzer zurücksetzen.

Source: https://habr.com/ru/post/de401947/