新型智能设备每天都在不断出现。 如今,小工具不仅是手表,追踪器或开关。 甚至儿童玩具也越来越智能。 例如,CloudPets生产与互联网连接的玩具,这些玩具使孩子和父母可以交换语音消息。 使用预先安装的专有应用程序将游戏系统连接到手机或平板电脑时,信息将以无线方式传输。 孩子捏着玩具的脚,激活了玩具,并可以发送语音消息,该消息到达智能手机。 家长则使用移动设备发送语音消息。 该消息到达后,玩具中的心形灯开始闪烁。 通过单击,孩子可以听爸爸妈妈的消息。
原理很简单,因此3至7岁的儿童可以使用此通信系统。 由于其功能,CloudPets的玩具已变得非常流行。 每天,成千上万的聪明熊,牛或猪的主人都会通过公司的服务器发送消息,并且将记录存储在云中,以防玩具所有者希望再次收听消息。 不幸的是,开发人员并不太在意存储在家里的数据的安全性。 服务器受到了网络罪犯的破坏,这些罪犯窃取了超过80万个帐户中的数据以及语音消息。
在此事件中,值得指责该公司,因为用户帐户存储在MongoDB数据库中,该数据库未被密码或防火墙关闭。 实际上,这些信息是明确的。 根据网络安全专家的说法,攻击者使用Shodan搜索服务发现了此信息,该服务使您可以搜索连接到网络且没有受到外部干扰的IoT设备,服务和站点。
为了保护公司,我们可以说数据库中的信息是使用
bcrypt加密的。 但是事实证明,大多数用户密码都很简单,攻击者可以毫不费力地破解它们。 我们正在谈论使用“ 12345”之类的密码保护其数据的级别。
事实证明,攻击者不只一次将自己的手放在数据库上,但至少两次。 此外,信息安全专家也对其进行了研究。 顺便说一句,攻击者通常会寻找MongoDB数据库,以便注入恶意软件而不是存储在其中的用户信息。 人们不应该对所发生的事情感到惊讶:专家一直表示,物联网设备制造商非常重视其产品的功能和设计,但是由于某些原因,他们不太担心保护其服务和站点不受外部干扰。
参与黑客调查的一位专家表示,为了共享智能玩具用户的数据,与这些玩具连接的云服务开发人员所犯的几个小错误就足够了。 好吧,如果您完全不必担心安全性,那么也就不必指望什么好。
不仅CloudPets在保护用户信息方面存在问题。 两年前,另一家玩具制造商伟易达的用户数据也
发生了类似情况。 然后,超过480万条记录流入了网络,包括电子邮件,出生日期等。伟易达通常以明文形式存储一些数据,因此黑客入侵只是时间问题。 对于CloudPets,网络犯罪分子在此接收了821,396个用户的帐户数据,371,970个已连接帐户和超过200万条语音消息。
使用语音消息传递,情况与数据库略有不同。 录音未存储在被黑的数据库中。 相反,该公司将它们托管在Amazon S3服务器上,无需进行身份验证即可获得访问权限。 要收听消息,您只需要文件的URL。 但是到音频的链接存储在被黑数据库的帐户中。 黑客帐户时,攻击者会收到所有存储的数据,包括用户发送或接收的所有邮件的URL。
最糟糕的是,该公司的服务器早在去年12月就遭到入侵,但玩具制造商仍未通知该问题用户。 一些网络安全专家试图与CloudPets代表联系,但没有反应。 结果,在1月12日,
下一个正在寻找不安全的MongoDB服务器的
攻击者清除了该数据库。
“我试图通过电子邮件,Linkedin,Zendesk和Twitter进行联系。 我什至尝试使用私人电子邮件地址与他人联系。 非营利组织GDI基金会主席Victor Gevers说,这没有答案。
现在,有关黑客的知识已广为人知,从CloudPets购买孩子的智能玩具的父母开始担心。 “我最担心的是有人可能会使用此信息向我的六岁女儿发送消息。 我的父母当然不会再通过这种方式向孙女发送消息了,”参加研讨会的Jason Pagel说,该研讨会的参加者包括网络安全专家,他们报告了CloudPets服务器的数据泄漏情况。
反过来,该公司的代表则认为,没有证据表明破解者收到了用户帐户信息。 但是,作为安全措施,CloudPets将为所有用户重置密码。