Como sobre isso? 2 milhão de gravações de voz das crianças e dos pais, juntamente com os endereços de e-mail e senhas pertencentes a 800,000 contas foram expostas. O motivo? brinquedos animais empalhados conectados à Internet inseguros!
Gravações de voz e dados confidenciais de brinquedos CloudPets conectados vazados e resgatados
A história não acaba aqui. Todos esses dados extremamente confidenciais estavam acessíveis ao público por meio de um banco de dados aberto que foi deixado desprotegido. O banco de dados não tinha senha ou firewall, tornando perigosamente fácil para qualquer pessoa acessá-lo.
relacionado: NOS. Pesquisa revela Troublesome detalhes sobre Medical violações de dados
Esta terrível descoberta foi feita por Troy Hunt, o proprietário do Have I Been Pwned? projeto, quem escreveu:
Agora primeiro, coloque-se no lugar do pai comum, aquele que é tecnicamente versado o suficiente para saber a senha do wi-fi, mas não é experiente o suficiente para entender como o “Magia” do papai conversando com as crianças através do urso (e vice versa) realmente funciona. Eles não percebem necessariamente que cada uma dessas gravações - aquelas íntimas, sincero, gravações extremamente pessoais - entre um pai e seu filho são armazenadas como um arquivo de áudio na web. Eles certamente não perceberiam que em CloudPets’ caso, esses dados foram armazenados em um MongoDB que estava em um segmento de rede voltado para o público sem qualquer autenticação necessária e foram indexados por Shodan (um mecanismo de pesquisa popular para encontrar coisas conectadas).
Em detalhes técnicos, os dados confidenciais foram expostos pela CloudPets - os animais empalhados produzidos pela Spiral Toys. Para que são os brinquedos, você talvez esteja se perguntando. Eles gravam e reproduzem mensagens de voz que pais e filhos podem enviar pela Internet. O banco de dados está com defeito, para surpresa de ninguém, é um MongoDB com 821,296 registros de contas e armazenados por uma empresa romena. A Spiral Toys tinha um contrato com essa empresa, e de acordo com Hunt, pessoas tentaram notificar o fabricante de brinquedos sobre a violação grave.
Mas isso não é tudo! Os dados indexados pelo mecanismo de busca Shodan foram acessados várias vezes por diferentes partes, cibercriminosos incluídos. Os dados também foram expostos a pedidos de resgate, como foi realizado por vigaristas.
relacionado: Seus registros do navegador excluídos poderia ainda estar na iCloud da Apple
O que a Spiral Toys da Califórnia respondeu?
Como relatado por Network World, na segunda-feira, a empresa sediada na Califórnia afirmou que nunca recebeu nenhum aviso de um incidente relacionado à privacidade.
“As manchetes que dizem 2 milhões de mensagens vazadas na internet são completamente falsas,” a empresa alegou. Tomou conhecimento do incidente depois que um repórter da Vice Media os contatou na semana passada. “Nós olhamos e pensamos que era um problema mínimo”.
Esse é apenas outro exemplo de como as coisas conectadas à Internet podem ficar ruins. Dê uma olhada no Troy Hunt's investigação completa.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: