De nouveaux modèles d'appareils intelligents continuent d'apparaître chaque jour. De nos jours, les gadgets ne sont pas seulement des montres, des trackers ou des interrupteurs. Même les jouets pour enfants deviennent plus intelligents. Par exemple, CloudPets fabrique des jouets connectés à Internet qui permettent aux enfants et aux parents d'échanger des messages vocaux. Les informations sont transmises sans fil lors de la connexion du système de jeu à un téléphone ou une tablette avec une application propriétaire préinstallée. En serrant le pied du jouet, l'enfant active le jouet et peut envoyer un message vocal qui arrive sur le smartphone. Les parents, à leur tour, utilisent un appareil mobile pour envoyer des messages vocaux. Dès que ce message arrive, la lumière en forme de cœur dans le jouet commence à clignoter. En cliquant dessus, l'enfant peut écouter le message de maman ou papa.
Le principe est assez simple, donc les enfants de 3 à 7 ans et plus peuvent utiliser ce système de communication. Grâce à ses fonctionnalités, les jouets de CloudPets sont devenus très populaires. Des milliers de messages des propriétaires d'ours, de vaches ou de porcs intelligents sont passés chaque jour par le serveur de l'entreprise et les enregistrements ont été stockés dans le cloud, au cas où le propriétaire du jouet voudrait réécouter les messages. Malheureusement, les développeurs ne se sont pas trop souciés de la sécurité des données stockées à domicile. Les serveurs ont été compromis par des cybercriminels qui ont volé des données de plus de 800 000 comptes avec des messages vocaux.
Dans l'incident, il convient de blâmer l'entreprise, car les comptes d'utilisateurs étaient stockés dans la base de données MongoDB, qui n'était pas fermée par un mot de passe ou un pare-feu. En fait, l'information était claire. Les attaquants, selon des experts en sécurité réseau, ont découvert ces informations en utilisant le service de recherche Shodan, qui vous permet de rechercher des appareils, services et sites IoT connectés au réseau et non protégés contre les interférences extérieures.
Pour défendre l'entreprise, nous pouvons dire que les informations de la base de données ont été cryptées à l'aide de
bcrypt . Mais la plupart des mots de passe des utilisateurs se sont avérés si simples que les attaquants les ont piratés sans trop de difficulté. Nous parlons du niveau de protection de leurs données avec des mots de passe tels que «12345».
Il s'est avéré que les attaquants ont mis la main sur la base de données plus d'une fois, mais au moins deux fois. De plus, des experts en sécurité de l'information l'ont également étudié. Soit dit en passant, les attaquants recherchent le plus souvent des bases de données MongoDB afin d'injecter des logiciels malveillants au lieu des informations utilisateur qui y sont stockées. Il ne faut pas s'étonner de ce qui s'est passé: les experts disent tout le temps que les fabricants d'appareils IoT accordent beaucoup d'attention à la fonctionnalité et à la conception de leurs produits, mais pour une raison quelconque, ils ne sont pas trop inquiets de protéger leurs services et sites contre les interférences externes.
L'un des experts impliqués dans l'enquête sur le piratage dit que pour que les données des utilisateurs de jouets intelligents soient partagées, quelques petites erreurs des développeurs de services cloud auxquels ces jouets se connectent suffisent. Eh bien, et si vous n'avez pas du tout à vous soucier de la sécurité, vous n'avez rien à attendre de bon.
Non seulement CloudPets a des problèmes pour protéger les informations des utilisateurs. Il y a deux ans, une situation similaire s'est
produite avec les données des utilisateurs d'un autre fabricant de jouets, VTech. Ensuite, plus de 4,8 millions d'enregistrements ont afflué sur le réseau, y compris les e-mails, les dates de naissance, etc. VTech avait des données stockées généralement en clair, donc le piratage n'était qu'une question de temps. Quant aux CloudPets, les cybercriminels ont reçu ici les données de compte de 821 396 utilisateurs, 371 970 comptes connectés et plus de 2 millions de messages vocaux.
Avec la messagerie vocale, la situation est légèrement différente de celle de la base de données. Les enregistrements audio n'étaient pas stockés dans une base de données piratée. Au lieu de cela, la société les a hébergés sur des serveurs Amazon S3, sans authentification requise pour y accéder. Pour écouter les messages, vous n'avez besoin que de l'URL du fichier. Mais les liens vers l'audio ont été stockés dans les comptes de la base de données piratée. Lors du piratage de comptes, les attaquants reçoivent toutes les données stockées, y compris l'URL de tous les messages envoyés ou reçus par l'utilisateur.
Pire encore, les serveurs de l'entreprise ont été compromis en décembre de l'année dernière, mais le fabricant de jouets n'a toujours pas informé les utilisateurs du problème. Certains experts en cybersécurité ont tenté de contacter les représentants de CloudPets, mais aucune réaction n'est venue. En conséquence, le 12 janvier, la base de données a été effacée par les
prochains attaquants qui recherchaient des serveurs MongoDB non sécurisés.
«J'ai essayé de contacter par e-mail, Linkedin, Zendesk et Twitter. J'ai même essayé de contacter des personnes en utilisant des adresses e-mail privées. Il n'y a pas de réponse », explique Victor Gevers, président de la fondation à but non lucratif GDI, qui enquête sur les cas de piratage.
Maintenant, le piratage est devenu connu, et les parents qui ont acheté leurs jouets intelligents à CloudPets ont commencé à s'inquiéter. «Ma pire crainte est que quelqu'un utilise ces informations pour envoyer des messages à ma fille de six ans. Mes parents n'enverront certainement plus de messages à leur petite-fille de cette façon », a déclaré Jason Pagel, un participant au séminaire auquel des experts en cybersécurité ont parlé avec un rapport sur les fuites de données des serveurs CloudPets.
Les représentants de l'entreprise, à leur tour, affirment qu'il n'y a aucune preuve que les crackers ont reçu des informations sur le compte d'utilisateur. Cependant, CloudPets va réinitialiser les mots de passe de tous les utilisateurs par mesure de sécurité.