Model baru perangkat pintar terus muncul setiap hari. Saat ini, gadget bukan hanya jam tangan, pelacak, atau sakelar. Bahkan mainan anak-anak semakin pintar. Misalnya, CloudPets memproduksi mainan yang terhubung ke internet yang memungkinkan anak-anak dan orang tua untuk bertukar pesan suara. Informasi ditransmisikan secara nirkabel ketika menghubungkan sistem game ke ponsel atau tablet dengan aplikasi eksklusif yang telah diinstal sebelumnya. Meremas kaki mainan, anak itu mengaktifkan mainan dan dapat mengirim pesan suara yang tiba di smartphone. Orang tua, pada gilirannya, menggunakan perangkat seluler untuk mengirim pesan suara. Segera setelah pesan ini tiba, cahaya berbentuk hati di mainan mulai berkedip. Dengan mengkliknya, anak dapat mendengarkan pesan ibu atau ayah.
Prinsipnya cukup sederhana, sehingga anak-anak berusia 3-7 tahun dan lebih tua dapat menggunakan sistem komunikasi ini. Berkat fitur-fiturnya, mainan dari CloudPets menjadi sangat populer. Ribuan pesan dari pemilik beruang, sapi, atau babi pintar melewati server perusahaan setiap hari, dan catatan disimpan di cloud, kalau-kalau pemilik mainan ingin mendengarkan pesan lagi. Sayangnya, para pengembang tidak terlalu peduli dengan keamanan data yang disimpan di rumah. Server dikompromikan oleh penjahat cyber yang mencuri data dari lebih dari 800.000 akun bersama dengan pesan suara.
Dalam insiden tersebut, ada baiknya menyalahkan perusahaan, karena akun pengguna disimpan dalam database MongoDB, yang tidak ditutup oleh kata sandi atau firewall. Padahal, informasinya sudah jelas. Penyerang, menurut pakar keamanan jaringan, menemukan informasi ini menggunakan layanan pencarian Shodan, yang memungkinkan Anda untuk mencari perangkat, layanan, dan situs IoT yang terhubung ke jaringan dan tidak terlindung dari gangguan luar.
Dalam membela perusahaan, kita dapat mengatakan bahwa informasi dalam database dienkripsi menggunakan
bcrypt . Tetapi sebagian besar kata sandi pengguna ternyata sangat sederhana sehingga penyerang memecahkannya tanpa banyak kesulitan. Kita berbicara tentang tingkat perlindungan data mereka dengan kata sandi seperti "12345".
Ternyata, para penyerang meletakkan tangan mereka ke basis data lebih dari sekali, tetapi setidaknya dua kali. Selain itu, pakar keamanan informasi juga mempelajarinya. By the way, penyerang paling sering mencari database MongoDB untuk menyuntikkan perangkat lunak berbahaya, bukan informasi pengguna yang tersimpan di dalamnya. Orang tidak perlu terkejut dengan apa yang terjadi: para ahli sepanjang waktu mengatakan bahwa produsen perangkat IoT menaruh perhatian besar pada fungsi dan desain produk mereka, tetapi untuk beberapa alasan mereka tidak terlalu khawatir melindungi layanan dan situs mereka dari gangguan eksternal.
Salah satu ahli yang terlibat dalam investigasi peretasan mengatakan bahwa agar data pengguna mainan pintar untuk dibagikan, beberapa kesalahan kecil dari pengembang layanan cloud yang menghubungkan mainan semacam itu sudah cukup. Nah, dan jika Anda tidak perlu khawatir tentang keamanan sama sekali, Anda tidak harus mengharapkan sesuatu yang baik.
Tidak hanya CloudPets yang memiliki masalah dalam melindungi informasi pengguna. Dua tahun lalu, situasi serupa
terjadi dengan data pengguna produsen mainan lain, VTech. Kemudian, lebih dari 4,8 juta catatan mengalir ke jaringan, termasuk email, tanggal lahir, dll. VTech memiliki beberapa data yang disimpan secara umum di tempat yang bersih, jadi peretasan hanya masalah waktu. Adapun CloudPets, di sini penjahat dunia maya menerima data akun 821.396 pengguna, 371.970 akun yang terhubung dan lebih dari 2 juta pesan suara.
Dengan pesan suara, situasinya sedikit berbeda daripada dengan database. Rekaman audio tidak disimpan dalam basis data yang diretas. Sebagai gantinya, perusahaan meng-host mereka di server Amazon S3, tanpa perlu otentikasi untuk mendapatkan akses. Untuk mendengarkan pesan, Anda hanya perlu URL file. Tetapi tautan ke audio disimpan di akun basis data yang diretas. Saat meretas akun, penyerang menerima semua data yang disimpan, termasuk URL semua pesan yang dikirim atau diterima oleh pengguna.
Yang terburuk dari semua, server perusahaan dikompromikan kembali pada bulan Desember tahun lalu, tetapi produsen mainan masih belum memberi tahu pengguna masalah. Beberapa pakar keamanan dunia maya mencoba menghubungi perwakilan CloudPets, tetapi tidak ada reaksi yang datang. Akibatnya, pada 12 Januari, database dihapus oleh
penyerang berikutnya yang mencari server MongoDB yang tidak aman.
“Saya mencoba menghubungi melalui email, Linkedin, Zendesk dan Twitter. Saya bahkan mencoba menghubungi orang menggunakan alamat email pribadi. Tidak ada jawaban, ”kata Victor Gevers, ketua Yayasan GDI nirlaba, yang menyelidiki kasus peretasan.
Sekarang peretasan mulai dikenal, dan orang tua yang membeli mainan pintar anak-anak mereka dari CloudPets, mulai khawatir. “Ketakutan terburuk saya adalah seseorang mungkin menggunakan informasi ini untuk mengirim pesan kepada putri saya yang berusia enam tahun. Orang tua saya pasti tidak akan lagi mengirim pesan kepada cucu perempuan mereka dengan cara ini, ”kata Jason Pagel, seorang peserta seminar di mana para pakar keamanan dunia maya berbicara dengan laporan tentang kebocoran data dari server CloudPets.
Perwakilan perusahaan, pada gilirannya, berpendapat bahwa tidak ada bukti bahwa cracker menerima informasi akun pengguna. Namun, CloudPets akan mengatur ulang kata sandi untuk semua pengguna sebagai langkah keamanan.