Умные плюшевые медведи шпионили за сотнями тыс. собственных владельцев

На протяжении как минимум 2-х недель в декабре-январе данные собственников игрушек CloudPets производства компании Spiral Toys хранились в БД MongoDB, незащищенной паролем либо межсетевым дисплеем.

«Умные» медведи CloudPets подключаются к телефону либо планшету с помощью Bluetooth. Производитель сохранял аудиозаписи собственников медведей на незащищенном сервере, в итоге разговоры оказались доступны злоумышленникам.

В руки хакеров попали адреса электронной почты пользователей, хэши их паролей, а еще не менее 2 млн голосовых сообщений. Идет речь о 2 миллионах записей голосов, включая детей. Потом пользователь обязан зарегистрировать себе аккаунт и после этого он сумеет посылать и получать голосовые сообщения при помощи игрушки.

Исследователь уточняет, что сами голосовые сообщения хранились не в базе, но в bucket Amazon S3, однако доступ к облаку не добивался аутентификации.

Установлено, что производитель «умных» игрушек CloudPets сохранял записи на цельном сервере без пароля. Игрушка способна подключаться к интернету и передавать на сервер компании информацию о собственной температуре, включаемых режимах и времени использования.

Профессионалы не один раз предупреждали компанию, что ее данные находятся под угрозой, но в Spiral Toys так ничего и не сделали, чтобы предотвратить утечку. Как оказалось, большинство собственников использовали для защиты пароль «123456».

К слову, за некоторое количество дней до этого германские специалисты предупредили о небезопасности остальных умных игрушек — кукол компании VTech из Гонконга.