These adorable teddy bears were reportedly hacked to expose 2 million messages

まるで別の理由が必要かのようにインターネットに接続されたマイクお子様の寝室に。

「抱きしめられるメッセージ」を販売するカリフォルニアに拠点を置く玩具会社が、親子の間で録音された200万件以上の音声メッセージをオンラインハッカーに暴露したと伝えられている。さらに悪いことに、同社は追加の顧客データがオンラインにあり誰でも取得できるという通知を複数回受けていたとされているが、それでもデータは少なくとも 1 週間は保存されたままであり、複数回盗まれたことを示唆する証拠もあった。

スパイラルトイインターネットに接続されたおもちゃを専門としています。クラウドペットぬいぐるみのラインは、おもちゃ業界でトレンドになりつつあるもの、つまり子供の想像力に頼らない人形を表しています。その代わりに、「Talking Puppy」などの名前の製品は、子供と親戚をインターネット経由で接続し、録音されたボイスメールを送受信できるようにします。

によるとマザーボード、1月上旬のある時点で、ハッカーが顧客の電子メールにアクセスして盗み、CloudPetsデータベースからパスワードをハッシュしました。関係者全員にとって残念なことに、CloudsPets にはユーザーに対するパスワード強度の要件がありませんでした。セキュリティ研究者トロイ・ハントその結果、多くのパスワードを簡単に推測でき、攻撃者が顧客の完全なアカウントにアクセスできるようになったと考えています。

いったい何人のユーザーアカウントが流出したのでしょうか?ハント氏はおそらく82万人を超えると考えている。

マッシュ可能な光の速度

「CloudPets の場合、そのデータは、公開されているネットワーク セグメントにある MongoDB に保存されていました。どれでも認証が必要であり、によってインデックスが作成されていました初段(関連するものを見つけるための人気の検索エンジン)」とハント氏はブログに書いている。「残念ながら、物事はそこから下り坂になるだけでした。人々は公開されたデータベースをオンラインで見つけました。」

「CloudPetsのデータは削除されるまでに権限のない者によって何度もアクセスされ、その後何度も身代金を要求されていた」と同氏は付け加えた。 「不正アクセスは検出されたはずだが、影響を受けた保護者には通知されなかった。」

マッシュ可能CloudPets と Spiral Toys の両方の Web サイトに記載されている電子メール アドレスにコメントを求めましたが、どちらのメッセージも返送されました。また、カリフォルニア州アゴーラヒルズの本社の公開されている電話番号にも電話しましたが、その電話番号は無効になっているようでした。

「このようなデータは最終的に他の人の手に渡ることを想定しなければなりません」

言うまでもなく、ハッカーに数十万の顧客アカウントへのアクセスを許可したとされるチームは、連携して行動しているようには見えません。

オーディオ録音自体はオープン MongoDB に保存されていませんでしたが、マザーボード開いた Amazon S3 バケットに音声ファイルとして保存されたと報告しています。これは、正しい URL を推測するだけで、悪意のある誰かが録音を聞くことができることを意味します。

ハント氏は、心配する親たちを安心させるとは言えない言葉でブログ投稿を締めくくり、次のように書いた。しなければならないこのようなデータは最終的に他の人の手に渡ると想定してください。ケイラ人形でも、バービー人形でも、VTech タブレットでも、クラウドペッツでも、違反を想定する。」

次回、ジュニア用の最新のインターネット接続おもちゃを購入するときは、心に留めておくべきことかもしれません。

Leave a Reply

Your email address will not be published. Required fields are marked *

Subscribe Now & Never Miss The Latest Tech Updates!

Enter your e-mail address and click the Subscribe button to receive great content and coupon codes for amazing discounts.

Don't Miss Out. Complete the subscription Now.