Компания-производитель «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями, не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей и 2 млн сообщений, сделав их доступными через интернет любому желающему.
В течение как минимум двух недель в декабре-январе данные владельцев игрушек CloudPets производства компании Spiral Toys хранились в базе данных MongoDB, незащищенной паролем или межсетевым экраном.
Базу легко можно было найти с помощью поисковой системы Shodan. Незащищенными оказались более 800 тыс. логинов и паролей, хешированных с помощью bcrypt. Данная криптографическая хеш-функция считается надежной, однако многие пароли оказались настолько слабыми, что взломать их вполне реально, сообщил ИБ-эксперт Трой Хант (Troy Hunt).
Пока БД оставалась незащищенной, к ней получили доступ по крайней мере два исследователя, а возможно, и хакеры. По словам экспертов, в начале января, когда киберпреступники активно сканировали интернет на наличие открытых MongoDB с целью заражения их вымогательским ПО, данные CloudPets перезаписывались дважды.
В последнее время устройства «Интернета вещей» (IoT) вызывают большое беспокойство у ИБ-экспертов. В частности, на прошлой неделе Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол My Friend Cayla. Как пояснил регулятор, игрушка записывает и отправляет разговоры детей на сервер производителя, который оставил за собой право передавать их третьим сторонам.
