Zabawka dla dzieci pozwalała nagrywać wiadomości. Nagrania wyciekły do sieci
Krytycy inteligentnych rzeczy, czyli takich, które można podłączyć do sieci, mają kolejny argument, by z takich sprzętów nie korzystać. Producent zabawek łączących się z internetem padł ofiarą wycieku danych.
W sumie wyciekło 800 tysięcy danych użytkowników i 2 miliony nagrań głosowych. Wszystko to przez kiepskie zabezpieczenia producenta… pluszowych zabawek.
Zabawka pozwalała nagrywać i odtwarzać wiadomości głosowe - wszystkie za pośrednictwem mobilnej aplikacji. Dzięki temu rodzic mógł powiedzieć do smartfonu “dobranoc” i wysłać nagranie do zabawki. Dziecko leżące w łóżku, tuląc się do pluszowego miśka, słyszało głos rodzica.
Niestety dla Spiral Toys, producenta tych zabawek, ich zabezpieczenia były kiepskiej jakości. I dlatego doszło do wycieku danych.
Dwie połączone bazy danych o pojemności pamięciowej 9 GB były ogólnodostępne przez kilka tygodni - informują eksperci do spraw bezpieczeństwa z G DATA.
- Posiadanie systemów testowych nie jest niczym niezwykłym, jednak w tym przypadku popełniono dwa błędy. Po pierwsze systemy testowe nigdy nie mogą zawierać prawdziwych danych klientów. Ponadto nie zachowano istotnej części zaleceń bezpieczeństwa baz MongoDB - ochrony przed nieautoryzowanym dostępem poprzez wdrożenie systemu uwierzytelniania - wyjaśnia G DATA.
Ogólnodostępne były nie tylko nagrania, ale i prawdziwe dane użytkowników - ich loginy i hasła. Spiral Toys posiadało silny algorytm haszujący, ale brakowało jakichkolwiek wytycznych dotyczących tworzenia haseł.
To oznacza, że użytkownicy nie byli zmuszani do wymyślania skomplikowanych zabezpieczeń. I stawiali na łatwe do odgadnięcia i złamania klasyki, takie jak "12345", "qwerty" czy „password”.
Nic dziwnego - w końcu to wciąż najpopularniejsze hasła świata. Wielu ludzi ciągle z nich korzysta, mimo ostrzeżeń ekspertów do spraw bezpieczeństwa.
Nie wiadomo, czy wśród poszkodowanych wyciekiem użytkowników byli Polacy. Zabawki z tej serii można kupić na Allegro, ale sprzedawcy informują, że producentem łudząco podobnych produktów jest inna firma. Niemniej jednak funkcje są te same. Warto więc być świadomym ryzyka.
Konsekwencje wycieku nie muszą być poważne. Owszem, akcje producenta spadły, zapewne zmniejszyło się też zaufanie klientów do firmy. Ale czy użytkownicy poniosą jakieś straty? Czarny scenariusz niekoniecznie musi się spełnić. Fakt, że nagrania wyciekły, rzeczywiście niepokoi. Trudno jednak wyoborazić sobie, żeby za pomocą zabawki przekazywane były jakieś tajemnice czy wyjątkowo prywatne treści.
O ile pluszowemu miśkowi nie przekazuje się poufnych informacji, to znacznie istotniejsze dane otrzymuje głosowy asystent czy nawet inteligentna lodówka. Ot, choćby lista zakupów - chcielibyście, żeby wasi sąsiedzi dzięki wyciekowi dowiedzieli się, ile butelek wina kupujecie?
Nie chodzi o to, by z takich sprzętów rezygnować. Po prostu trzeba być świadomym tego, że nowoczesne urządzenia mają takie funkcje i ryzyko ewentualnego wycieku istnieje. W końcu są podłączone do sieci, tak jak komputery i smartfony, które przecież również bywają celem ataku.
Dlatego też lepiej korzystać z produktów sprawdzonych, oryginalnych, od producentów, do których mamy zaufanie. Wpadki zdarzają się nawet największym, jednak ryzyko jest wówczas mniejsze.