בובות מקוונות הדליפו יותר מ-2 מיליון הקלטות של ילדים והורים

Haaretz, עודד ירון, 28.02.17

Cloud Pets

Cloud Pets. צילום מסך

המפתחים של Cloud Pets, בובות חכמות ומחוברות לרשת, שמרו מיליוני הקלטות ומאות אלפי חשבונות משתמשים בשרתים חשופים לגמרי לרשת. כשניסו לדווח להם על הבעיה התברר שאין עם מי לדבר

אחרי שגרמניה אסרה החודש על מכירת הבובה החכמה קיילה בשל החשש לפגיעה בפרטיות ילדים והוריהם, מגיעה סיפור חדש וחמור יותר על בובה מחוברת לרשת. חוקר האבטחה טרוי האנט, שמנהל את אתר  Have I been pwned? לדיווח על מאגרי מידע שנחשפו, חשף הלילה בשיתוף פעולה עם אתר Motherboard כי בובות מחוברות נוספות בשם  Cloud Pets חשפו יותר מ-22 מיליון הקלטות של שיחות של הורים וילדים, בנוסף למאות אלפי חשבונות משתמשים.

בין היתר גילה האנט כי מסד הנתונים של החברה נחשף ואונדקס באמצעות מנוע החיפוש Shodan, שמשמש לחיפושים של מכשירים פגיעים המחוברים לרשת. מסד הנתונים מסוג MongoDB, שכלל בין היתר את חשבונות המשתמשים ואת ההקלטות הקוליות, היה חשוף לרשת, ולא היה אפילו מוגן בססמה. "אנשים מצאו את מסד הנתונים החשוף ברשת", כתב האנט. "הרבה אנשים, והדבר המדאיג הוא שמאוד בלתי סביר שמישהו יודע בכמה אנשים מדובר".

על פי הממצאים של האנט ושל חוקרים נוספים מדובר בסך הכל ביותר מ-800 אלף חשבונות של משתמשים, שכתובות האימייל שלהם היו חשופות במסד הנתונים. נקודת האור היחידה היתה שהססמאות היו מוגנות בפונקציית גיבוב קריפטוגרפית חזקה יחסית (Bycript). ואולם, השירות לא הגביל כלל את המשתמשים באורך ובמורכבות הססמאות שהוא דרש מהן, כך שרבות מהססמאות קלות לפיצוח, למרות השימוש באותה פונקציה.

אבל, כאמור, זה עוד מחמיר. בחודשים האחרונים נפוצה ברשת תוכנת כופר שפוגעת בשרתים המריצים את תוכנת MongoDB. עשרות אלפי שרתים נפגעו. ומתברר שהאנט וחוקר נוסף בשם ניאל מריגן, גילו כי האקרים שהשתמשו בתוכנה הצליחו להשתלט גם על מסד הנתונים של Cloud Pets ולדרוש כופר של ביטקוין אחד.

הרי שדווקא בתחום הצעצועים המחוברים גם שמות גדולים ומוכרים כמו "הלו ברבי" של חברת מאטל כבר עלו לכותרות בנסיבות Vtechh,  דומות. עוד קודם לכן דווח על הדליפה מחברת

שהטאבלטים לילדים שלהם חשפו מידע אישי רב של מיליוני לקוחות.

לכתבה

מודעות פרסומת
Post a comment or leave a trackback: Trackback URL.

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s

%d בלוגרים אהבו את זה: