Подключенные плюшевые медведи CloudPets болтают о владельцев, утечка 2 миллионов голосовых записей

Помните, когда худшее, что могло случиться с вашей куклой, — это потеря глаза? Как изменились времена.

В последнем скандале с игрушками (да, сейчас это уже стало) подключенный плюшевый мишка просочился с голосовыми записями более 2 миллионов детей и родителей, а также с адресами электронной почты и информация о паролях, связанных с более чем 800 000 учетных записей. Как впервые сообщил Трой Хант в сообщении в блоге, опубликованном в конце февраля, Spiral Toys, компания, выпускающая чучела животных CloudPets, оставила целый ряд пользовательских данных уязвимыми для атак. Теперь эти игрушки были приобретены у ряда розничных продавцов, включая Amazon, Walmart и Target.

Amazon начала убирать CloudPets со своего онлайн-рынка после того, как к нему обратилась Mozilla, которая предложила исследование, которое подчеркнуло потенциальная опасность детской игрушки.

«В мире, где утечки данных становятся все более обычным явлением, а такие продукты, как CloudPets, все еще остаются на полках магазинов, я все больше беспокоюсь о конфиденциальности и безопасности моих детей », — говорится в заявлении вице-президента Mozilla по защите интересов Эшли Бойд.

Когда дело доходит до CloudPets, похоже, что эта проблема обоснована. Несколько месяцев назад Хант объяснил уязвимость, написав в своем блоге: «… в случае CloudPets… данные хранились в MongoDB, который находился в общедоступном сетевом сегменте, без какой-либо аутентификации. и был проиндексирован Shodan (популярной поисковой системой для поиска связанных вещей) ». Так что это значит? По сути, к данным о клиентах мог легко получить доступ практически любой человек, и доступ к ним был. Хант отметил, что, согласно данным Shodan, в период с 25 декабря по 8 января данные клиентов неоднократно просматривались многими людьми, в том числе злоумышленниками, которые требовали выкуп за раскрытие некоторых из этих данных.

Что еще хуже, могло показаться, что CloudPets были предупреждены об этой проблеме, при этом Хант отметил, что хороший самаритянин «трижды пытался связаться с CloudPets, чтобы предупредить их о воздействии». К сожалению, адрес электронной почты, указанный на странице поддержки компании, пришел в норму, и последующие попытки контакта остались без ответа.

К сожалению, по словам Ханта, такого рода умышленное незнание кажется довольно обычным явлением, особенно в область кибербезопасности. «Снова и снова происходят большие задержки или вообще нет ответа от тех самых людей, которые должны быть больше всего заинтересованы в подобных инцидентах», — написал он. «Если у вас есть какой-либо онлайн-сервис, подумайте, что нужно для обеспечения того, чтобы кто-то мог сообщить вам о таких вещах, потому что в противном случае вся эта история могла бы иметь совсем другой результат».

Обновлено 5 июня: Amazon, Walmart и Target забрали CloudPets из магазинов.

Оцените статью
howzone.ru
Добавить комментарий