«Умные» плюшевые мишки раскрыли данные 800 тыс. пользователей
Компания-производитель «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями, не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей и 2 млн сообщений, сделав их доступными через интернет любому желающему.
В течение как минимум двух недель в декабре-январе данные владельцев игрушек CloudPets производства компании Spiral Toys хранились в БД MongoDB, незащищенной паролем или межсетевым экраном. Базу легко можно было найти с помощью поисковой системы Shodan, сообщает издание Motherboard со ссылкой на ряд исследователей безопасности.
Незащищенными оказались более 800 тыс. логинов и паролей, хешированных с помощью bcrypt. Данная криптографическая хеш-функция считается надежной, однако многие пароли оказались настолько слабыми, что взломать их вполне реально, сообщил ИБ-эксперт Трой Хант (Troy Hunt).
Пока БД оставалась незащищенной, к ней получили доступ по крайней мере два исследователя, а возможно, и хакеры. По словам экспертов, в начале января, когда киберпреступники активно сканировали интернет на наличие открытых MongoDB с целью заражения их вымогательским ПО, данные CloudPets перезаписывались дважды.
В последнее время устройства «Интернета вещей» (IoT) вызывают большое беспокойство у ИБ-экспертов. В частности, на прошлой неделе Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол My Friend Cayla. Как пояснил регулятор, игрушка записывает и отправляет разговоры детей на сервер производителя, который оставил за собой право передавать их третьим сторонам.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш