Весёлые зверушки от компании CloudPets завоевали популярность довольно быстро. Ещё бы - коровки, мишки и собачки позволяли детям и родителям обмениваться голосовыми сообщениями. Информация передаётся по беспроводной связи. Достаточно установить на смартфоне или планшете фирменное приложение и подключить к гаджету игровую платформу, чтобы система заработала.
Ребёнок пожимает лапку игрушке, игрушка активируется и передаёт голосовое сообщение, которое тут же поступает на родительский смартфон. Родители могут ответить малышу с помощью своего мобильного устройства. Сообщение поступило - у игрушки начинает мигать лампочка в виде сердечка. Нажимаешь на сердечко, и слушаешь, что говорят тебе мама или папа.
Простота сделала игрушки от CloudPets очень популярными, ежедневно тысячи сообщений проходили через серверы компании. Резервные копии хранились в "облаке", чтобы их можно было при необходимости прослушать ещё раз.
Судя по тому, что серверы были скомпрометированы злоумышленниками, которые увели данные более чем 800 000 учетных записей вместе с голосовыми сообщениями, данные были защищены крайне слабо.
Как сообщает Geektimes, в случившемся виновата сама компания, которая хранила учётные записи в базе данных MongoDB, не закрытой паролем или файерволлом. Фактически, информация лежала в открытом виде. Злоумышленники, как полагают эксперты по сетевой безопасности, обнаружили эту информацию при помощи поискового сервиса Shodan, который позволяет искать подключенные к сети и незащищенные от стороннего вмешательства IoT-устройства, сервисы и сайты.
Информация в базе данных была зашифрована с помощью bcrypt, но достаточно простые пароли злоумышленники вскрыли без особого труда. Говорят, что данные были защищены паролями типа "12345".
Удивляться случившемуся не приходится: эксперты все время говорят о том, что производители IoT устройств уделяют много внимания функциональности и дизайну своих продуктов, но почему-то не слишком беспокоятся о защите своих сервисов и сайтов от внешнего вмешательства.
В результате взлома CloudPets киберпреступники получили данные учетных записей 821 396 пользователей, 371 970 связанных учеток и более двух миллионов голосовых сообщений.
Хуже всего то, что серверы компании были скомпрометированы еще в декабре прошлого года, но производитель игрушек до сих пор не известил пользователей о проблеме. Некоторые специалисты по кибербезопасности пытались связаться с представителями CloudPets, но никакой реакции не последовало. В результате 12 января БД была стерта очередными злоумышленниками, которые искали незащищённые серверы MongoDB.
