Nuevos modelos de dispositivos inteligentes continúan apareciendo todos los días. Hoy en día, los dispositivos no son solo relojes, rastreadores o interruptores. Incluso los juguetes de los niños se vuelven más inteligentes. Por ejemplo, CloudPets fabrica juguetes conectados a Internet que permiten que niños y padres intercambien mensajes de voz. La información se transmite de forma inalámbrica cuando se conecta el sistema de juego a un teléfono o tableta con una aplicación propietaria preinstalada. Al apretar el pie del juguete, el niño lo activa y puede enviar un mensaje de voz que llega al teléfono inteligente. Los padres, a su vez, usan un dispositivo móvil para enviar mensajes de voz. Tan pronto como llega este mensaje, la luz en forma de corazón en el juguete comienza a parpadear. Al hacer clic en él, el niño puede escuchar el mensaje de mamá o papá.
El principio es bastante simple, por lo que los niños de 3 a 7 años en adelante pueden usar este sistema de comunicación. Gracias a sus características, los juguetes de CloudPets se han vuelto muy populares. Miles de mensajes de los propietarios de osos inteligentes, vacas o cerdos pasaron por el servidor de la compañía todos los días, y los registros se almacenaron en la nube, en caso de que el propietario del juguete quiera escuchar los mensajes nuevamente. Desafortunadamente, los desarrolladores no se preocuparon demasiado por la seguridad de los datos almacenados en el hogar. Los servidores fueron comprometidos por cibercriminales que robaron datos de más de 800,000 cuentas junto con mensajes de voz.
En el incidente, vale la pena culpar a la compañía, porque las cuentas de usuario se almacenaron en la base de datos MongoDB, que no estaba cerrada por una contraseña o firewall. De hecho, la información estaba clara. Los atacantes, según expertos en seguridad de redes, descubrieron esta información utilizando el servicio de búsqueda Shodan, que le permite buscar dispositivos, servicios y sitios de IoT conectados a la red y no protegidos de interferencias externas.
En defensa de la empresa, podemos decir que la información en la base de datos fue encriptada usando
bcrypt . Pero la mayoría de las contraseñas de los usuarios resultaron ser tan simples que los atacantes las descifraron sin mucha dificultad. Estamos hablando del nivel de protección de sus datos con contraseñas como "12345".
Al final resultó que, los atacantes pusieron sus manos en la base de datos más de una vez, pero al menos dos veces. Además, los expertos en seguridad de la información también lo estudiaron. Por cierto, los atacantes suelen buscar bases de datos MongoDB para inyectar software malicioso en lugar de la información del usuario almacenada en ellas. No debería sorprendernos lo que sucedió: los expertos siempre dicen que los fabricantes de dispositivos IoT prestan mucha atención a la funcionalidad y el diseño de sus productos, pero por alguna razón no están demasiado preocupados por proteger sus servicios y sitios de interferencias externas.
Uno de los expertos involucrados en la investigación de piratería informática dice que para que se compartan los datos de los usuarios de juguetes inteligentes, basta con un par de pequeños errores de los desarrolladores de servicios en la nube a los que se conectan dichos juguetes. Bueno, y si no tiene que preocuparse por la seguridad en absoluto, no tiene que esperar nada bueno.
No solo CloudPets tiene problemas para proteger la información del usuario. Hace dos años,
ocurrió una situación similar con los datos de los usuarios de otro fabricante de juguetes, VTech. Luego, más de 4.8 millones de registros se filtraron a la red, incluidos el correo electrónico, las fechas de nacimiento, etc. VTech tenía algunos datos almacenados en claro, en general, por lo que la piratería era solo cuestión de tiempo. En cuanto a CloudPets, aquí los ciberdelincuentes recibieron datos de la cuenta de 821,396 usuarios, 371,970 cuentas conectadas y más de 2 millones de mensajes de voz.
Con los mensajes de voz, la situación es ligeramente diferente que con la base de datos. Las grabaciones de audio no se almacenaron en una base de datos pirateada. En cambio, la compañía los alojó en servidores Amazon S3, sin necesidad de autenticación para obtener acceso. Para escuchar mensajes, solo necesita la URL del archivo. Pero los enlaces al audio se almacenaron en las cuentas de la base de datos pirateada. Al piratear cuentas, los atacantes reciben todos los datos almacenados, incluida la URL de todos los mensajes enviados o recibidos por el usuario.
Lo peor de todo es que los servidores de la compañía se vieron comprometidos en diciembre del año pasado, pero el fabricante de juguetes aún no ha notificado a los usuarios del problema. Algunos expertos en ciberseguridad intentaron contactar a representantes de CloudPets, pero no hubo reacción. Como resultado, el 12 de enero, la siguiente base de datos fue borrada por los
siguientes atacantes que buscaban servidores MongoDB inseguros.
“Traté de contactarme por correo electrónico, Linkedin, Zendesk y Twitter. Incluso intenté contactar a personas que usan direcciones de correo electrónico privadas. No hay respuesta ", dice Victor Gevers, presidente de la Fundación GDI sin fines de lucro, que investiga casos de piratería.
Ahora se conoció el pirateo, y los padres que compraron a sus hijos juguetes inteligentes de CloudPets comenzaron a preocuparse. “Mi peor temor es que alguien pueda usar esta información para enviar mensajes a mi hija de seis años. Mis padres ciertamente ya no enviarán mensajes a su nieta de esta manera ", dijo Jason Pagel, un asistente al seminario en el que expertos en ciberseguridad hablaron con un informe sobre la fuga de datos de los servidores de CloudPets.
Los representantes de la compañía, a su vez, argumentan que no hay evidencia de que los crackers hayan recibido información de la cuenta de usuario. Sin embargo, CloudPets va a restablecer las contraseñas de todos los usuarios como medida de seguridad.