vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Хакеры украли у “умных” игрушек два миллиона сообщений

Дата публикации: 02.03.2017
Количество просмотров: 633

Весёлые зверушки от компании CloudPets завоевали популярность довольно быстро. Ещё бы - коровки, мишки и собачки позволяли детям и родителям обмениваться голосовыми сообщениями. Информация передаётся по беспроводной связи. Достаточно установить на смартфоне или планшете фирменное приложение и подключить к гаджету игровую платформу, чтобы система заработала.

Ребёнок пожимает лапку игрушке, игрушка активируется и передаёт голосовое сообщение, которое тут же поступает на родительский смартфон. Родители могут ответить малышу с помощью своего мобильного устройства. Сообщение поступило - у игрушки начинает мигать лампочка в виде сердечка. Нажимаешь на сердечко, и слушаешь, что говорят тебе мама или папа.

Простота сделала игрушки от CloudPets очень популярными, ежедневно тысячи сообщений проходили через серверы компании. Резервные копии хранились в "облаке", чтобы их можно было при необходимости прослушать ещё раз.

Судя по тому, что серверы были скомпрометированы злоумышленниками, которые увели данные более чем 800 000 учетных записей вместе с голосовыми сообщениями, данные были защищены крайне слабо.

Как сообщает Geektimes, в случившемся виновата сама компания, которая хранила учётные записи в базе данных MongoDB, не закрытой паролем или файерволлом. Фактически, информация лежала в открытом виде. Злоумышленники, как полагают эксперты по сетевой безопасности, обнаружили эту информацию при помощи поискового сервиса Shodan, который позволяет искать подключенные к сети и незащищенные от стороннего вмешательства IoT-устройства, сервисы и сайты.

Информация в базе данных была зашифрована с помощью bcrypt, но достаточно простые пароли злоумышленники вскрыли без особого труда. Говорят, что данные были защищены паролями типа "12345".

Удивляться случившемуся не приходится: эксперты все время говорят о том, что производители IoT устройств уделяют много внимания функциональности и дизайну своих продуктов, но почему-то не слишком беспокоятся о защите своих сервисов и сайтов от внешнего вмешательства.

В результате взлома CloudPets киберпреступники получили данные учетных записей 821 396 пользователей, 371 970 связанных учеток и более двух миллионов голосовых сообщений.

Хуже всего то, что серверы компании были скомпрометированы еще в декабре прошлого года, но производитель игрушек до сих пор не известил пользователей о проблеме. Некоторые специалисты по кибербезопасности пытались связаться с представителями CloudPets, но никакой реакции не последовало. В результате 12 января БД была стерта очередными злоумышленниками, которые искали незащищённые серверы MongoDB.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/31158/hakeryi-ukrali-u-umnyih-igrushek-dva-milliona-soobscheniy.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться