«Умные» плюшевые мишки раскрыли данные 800 тыс. пользователей

Компания-производитель «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями, не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей и 2 млн сообщений, сделав их доступными через интернет любому желающему.

В течение как минимум двух недель в декабре-январе данные владельцев игрушек CloudPets производства компании Spiral Toys хранились в БД MongoDB, незащищенной паролем или межсетевым экраном. Базу легко можно было найти с помощью поисковой системы Shodan, сообщает издание Motherboard со ссылкой на ряд исследователей безопасности.

Незащищенными оказались более 800 тыс. логинов и паролей, хешированных с помощью bcrypt. Данная криптографическая хеш-функция считается надежной, однако многие пароли оказались настолько слабыми, что взломать их вполне реально, сообщил ИБ-эксперт Трой Хант (Troy Hunt).

Пока БД оставалась незащищенной, к ней получили доступ по крайней мере два исследователя, а возможно, и хакеры. По словам экспертов, в начале января, когда киберпреступники активно сканировали интернет на наличие открытых MongoDB с целью заражения их вымогательским ПО, данные CloudPets перезаписывались дважды.

В последнее время устройства «Интернета вещей» (IoT) вызывают большое беспокойство у ИБ-экспертов. В частности, на прошлой неделе Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол My Friend Cayla. Как пояснил регулятор, игрушка записывает и отправляет разговоры детей на сервер производителя, который оставил за собой право передавать их третьим сторонам.

Источник