Розмови 800 тисяч власників плюшевих ведмедів стали доступні зловмисникам. Розумні іграшки CloudPets випускала компанія Spiral Toys.
Про це повідомляє Motherboard.
Іграшка-прослушка
Плюшеві ведмедики, коти, миші, єдинороги та інші тваринки CloudPets підключаються по Bluetoorh до планшета, смартфону або ПК. Щоб отримати або відправити голосове повідомлення за допомогою іграшки, потрібно зареєструвати аккаунт на сайті виробника.
Фахівці з безпеки виявили, що повідомлення, які записували розумні ведмеді, розташовувалися на загальному сервері. Отримати доступ до них можна було без тривалого підбору комбінацій.
За словами експерта Троя Ханта, в архіві на сервері, який зберігався без пароля, містилися адреси електронної пошти і паролі до акаунтів в CloudPets. Багато користувачів захищали свої дані паролями кшталт «123456». Ось як виглядає запис у базі даних MongoDB:
Крім того, фахівці показали, що плюшевих ведмедів можна зламати і перетворити на пристрій для прослуховування. Таким чином, зловмисники зможуть дізнатися, про що ви розмовляєте вдома, коли в квартирі нікого немає.
Експерти намагалися попередити компанію. Але Spiral Toys не відповідала на дзвінки і e-mail. Після розголосу історії компанія зіткнулася з фінансовими труднощами, вартість її акцій стала близька до нуля.
До речі, за кілька днів до цього німецькі експерти попередили про небезпеку інших розумних іграшок – ляльок компанії VTech з Гонконгу. Виробник зробив доступними зловмисникам дані 6,3 млн дітей і 4,9 млн батьків, у тому числі селфы і повідомлення у приватних чатах.
