Игрушка-прослушка
Плюшевые мишки, коты, мыши, единороги и другие зверюшки CloudPets подключаются по Bluetooth к планшету, смартфону или ПК. Чтобы получить или отправить голосовое сообщение с помощью игрушки, нужно зарегистрировать аккаунт на сайте производителя.
Специалисты по безопасности обнаружили, что сообщения, которые записывали умные медведи, располагались на общем сервере. Получить доступ к ним можно было без длительного подбора комбинаций.
По словам эксперта Троя Ханта, в архиве на сервере, который хранился без пароля, содержались адреса электронной почты и пароли к аккаунтам в CloudPets. Многие пользователи защищали свои данные паролями вроде «123456». Вот как выглядит запись в базе данных MongoDB:
Кроме того, специалисты показали, что плюшевых медведей можно взломать и превратить в устройство для прослушки. Таким образом, злоумышленники смогут узнать, о чем вы разговариваете дома, когда в квартире никого нет и т.п.
Эксперты пытались предупредить компанию. Но Spiral Toys не отвечала на звонки и e-mail. После огласки истории компания столкнулась с финансовыми трудностями, стоимость ее акций стала близка к нулю.
К слову, за несколько дней до этого немецкие эксперты предупредили о небезопасности других умных игрушек – кукол компании VTech из Гонконга. Производитель сделал доступными злоумышленникам данные 6,3 млн детей и 4,9 млн родителей, в том числе селфи и сообщения в приватных чатах.