Novos modelos de dispositivos inteligentes continuam aparecendo todos os dias. Atualmente, os gadgets não são apenas relógios, rastreadores ou interruptores. Até os brinquedos infantis estão ficando mais inteligentes. Por exemplo, o CloudPets fabrica brinquedos conectados à Internet que permitem que crianças e pais troquem mensagens de voz. As informações são transmitidas sem fio ao conectar o sistema de jogo a um telefone ou tablet com um aplicativo proprietário pré-instalado. Apertando o pé do brinquedo, a criança ativa o brinquedo e pode enviar uma mensagem de voz que chega no smartphone. Os pais, por sua vez, usam um dispositivo móvel para enviar mensagens de voz. Assim que essa mensagem chega, a luz em forma de coração no brinquedo começa a piscar. Ao clicar nele, a criança pode ouvir a mensagem da mãe ou do pai.
O princípio é bastante simples, portanto, crianças de 3 a 7 anos de idade ou mais podem usar esse sistema de comunicação. Graças às suas características, os brinquedos do CloudPets se tornaram muito populares. Milhares de mensagens dos proprietários de ursos, vacas ou porcos inteligentes passavam pelo servidor da empresa todos os dias e os registros eram armazenados na nuvem, caso o dono do brinquedo quisesse ouvir as mensagens novamente. Infelizmente, os desenvolvedores não se preocuparam muito com a segurança dos dados armazenados em casa. Os servidores foram comprometidos por cibercriminosos que roubaram dados de mais de 800.000 contas, além de mensagens de voz.
No incidente, vale a pena culpar a empresa, porque as contas de usuário foram armazenadas no banco de dados MongoDB, que não foi fechado por uma senha ou firewall. De fato, a informação estava clara. Os invasores, de acordo com especialistas em segurança de rede, descobriram essas informações usando o serviço de pesquisa Shodan, que permite pesquisar dispositivos, serviços e sites de IoT conectados à rede e não protegidos contra interferências externas.
Em defesa da empresa, podemos dizer que as informações no banco de dados foram criptografadas usando
bcrypt . Mas a maioria das senhas de usuários acabou sendo tão simples que os invasores as quebraram sem muita dificuldade. Estamos falando do nível de proteção de seus dados com senhas como "12345".
Como se viu, os atacantes colocaram as mãos no banco de dados mais de uma vez, mas pelo menos duas vezes. Além disso, especialistas em segurança da informação também o estudaram. A propósito, os atacantes costumam procurar bancos de dados do MongoDB para injetar software malicioso em vez de informações do usuário armazenadas neles. Não devemos nos surpreender com o que aconteceu: especialistas sempre dizem que os fabricantes de dispositivos IoT prestam muita atenção à funcionalidade e design de seus produtos, mas, por alguma razão, não estão preocupados demais em proteger seus serviços e sites contra interferências externas.
Um dos especialistas envolvidos na investigação de hackers diz que, para que os dados dos usuários de brinquedos inteligentes sejam compartilhados, bastam alguns pequenos erros dos desenvolvedores de serviços em nuvem aos quais esses brinquedos se conectam. Bem, e se você não precisa se preocupar com segurança, não precisa esperar nada de bom.
Não apenas o CloudPets tem problemas para proteger as informações do usuário. Há dois anos,
ocorreu uma situação semelhante com os dados de usuários de outro fabricante de brinquedos, a VTech. Em seguida, mais de 4,8 milhões de registros vazaram para a rede, incluindo e-mail, datas de nascimento, etc. A VTech tinha alguns dados armazenados de forma clara em geral, portanto, o hacking era apenas uma questão de tempo. Quanto ao CloudPets, aqui os cibercriminosos receberam dados de contas de 821.396 usuários, 371.970 contas conectadas e mais de 2 milhões de mensagens de voz.
Com as mensagens de voz, a situação é um pouco diferente da do banco de dados. As gravações de áudio não foram armazenadas em um banco de dados invadido. Em vez disso, a empresa os hospedou nos servidores Amazon S3, sem autenticação necessária para obter acesso. Para ouvir as mensagens, você só precisa do URL do arquivo. Mas os links para o áudio foram armazenados nas contas do banco de dados invadido. Ao invadir contas, os atacantes recebem todos os dados armazenados, incluindo o URL de todas as mensagens enviadas ou recebidas pelo usuário.
O pior de tudo é que os servidores da empresa foram comprometidos em dezembro do ano passado, mas o fabricante de brinquedos ainda não notificou os usuários sobre o problema. Alguns especialistas em segurança cibernética tentaram entrar em contato com os representantes da CloudPets, mas não houve reação. Como resultado, em 12 de janeiro, o banco de dados foi apagado pelos
próximos atacantes que procuravam servidores MongoDB inseguros.
“Tentei entrar em contato por e-mail, Linkedin, Zendesk e Twitter. Até tentei entrar em contato com pessoas usando endereços de email particulares. Não há resposta ”, diz Victor Gevers, presidente da Fundação GDI, sem fins lucrativos, que investiga casos de hackers.
Agora, os hackers se tornaram conhecidos e os pais que compraram brinquedos inteligentes de seus filhos na CloudPets começaram a se preocupar. “Meu maior medo é que alguém possa usar essas informações para enviar mensagens para minha filha de seis anos. Meus pais certamente não enviarão mais mensagens para a neta dessa maneira ”, disse Jason Pagel, participante de um seminário no qual especialistas em segurança cibernética conversaram com um relatório sobre vazamento de dados dos servidores CloudPets.
Representantes da empresa, por sua vez, argumentam que não há evidências de que os crackers tenham recebido informações da conta do usuário. No entanto, o CloudPets redefinirá senhas para todos os usuários como medida de segurança.