«Умные» плюшевые игрушки CloudPets от калифорнийской компании Spiral Toys оказались в центре скандала: хакеры предположительно получили доступ к 2 млн разговоров владельцев таких устройств.
Кроме того, сообщается, что производитель игрушек был несколько раз уведомлен о том, что личные данные пользователей попали в онлайн-пространство, но взломанная база оставалась в открытом доступе в течение еще одной недели, прежде чем была удалена.
Сообщение, которое можно украсть
Spiral Toys специализируется на производстве товаров для детей, подключаемых к интернету. Игрушка CloudPets позиционируется компанией как «сообщение, которое можно обнять».
Она предназначена для связи между родителями и детьми, если они находятся далеко друг от друга: пользователь записывает сообщение с помощью специального мобильного приложения, которое воспроизводится плюшевым зверем.
Нажав кнопку на лапке игрушки, можно отправить голосовой ответ, который уходит на мобильное устройство с помощью Bluetooth, а потом пересылается на устройство получателя. Перед тем как пользоваться CloudPets, необходимо пройти онлайн-регистрацию.
Согласно информации Motherboard,
в январе 2017 года хакеры получили доступ и похитили электронные адреса и хешированные пароли около 800 тыс. владельцев CloudPets.
К сожалению, компания не выставила никаких повышенных требований к надежности паролей, что, по мнению эксперта по безопасности Троя Ханта, привело к быстрой дешифровке большинства из них.
«Данные пользователей в облаке CloudPets несколько раз просматривались неустановленными личностями. Есть основания полагать, что в некоторых случаях за эту информацию требовали денежный выкуп, — сообщил Хант в своем блоге. — Факт незаконного доступа к базе данных был установлен компанией, но никто из пострадавших пользователей не был уведомлен».
В конце своего доклада эксперт предупредил родителей об опасности, которую таят в себе такие игрушки.
«Покупая CloudPets или любые другие подобные устройства, вы должны осознавать, что ваши разговоры легко могут оказаться в руках злоумышленников», — пишет Трой Хант.
Эксперты из Motherboard согласились с коллегой и порекомендовали воздержаться от покупки игрушек, относящихся к интернету вещей, и приобрести «старого доброго плюшевого медведя без доступа к сети».
Исполнительный директор CloudPets Марк Майерс опроверг информацию о краже аудиозаписей. «Были ли слиты разговоры покупателей? Разумеется, нет. Заголовки, кричащие об утечке 2 млн записей, не соответствуют действительности», — заявил Майерс в интервью журналу NetworkWorld.
The Guardian сообщает, что слова Майерса, скорее всего, относятся к тому факту, что записи разговоров хранились в отдельном хранилище — на файловом хостинге Amazon S3 в открытом доступе. При этом, чтобы получить доступ к данным, проходить авторизацию не нужно —
хакеру достаточно просто угадать правильный URL и легко прослушать, о чем говорили покупатели CloudPets со своими детьми.
Издание также указывает на то, что CloudPets в своем официальном видео по эксплуатации рекомендует покупателям при регистрации использовать пароль «qwe», что явно свидетельствует не в пользу производителя и дает основания полагать, что безопасность данных явно не в приоритете компании.
Менеджер по группе продуктов ESET Сергей Кузнецов рассказал «Газете.Ru», что
при правильной эксплуатации игрушки с выходом в интернет не опаснее, чем любые другие гаджеты с аналогичными свойствами, например смартфоны и планшеты.
«Если игрушка подключена к Wi-Fi с доступом в интернет, достаточно соблюдать стандартные рекомендации: не подключаться к публичным сетям, использовать WPA2-шифрование, установить сложный пароль на подключение к сети, настроить фильтр по МАС-адресам или скрыть свою точку доступа от посторонних», — посоветовал эксперт.
Недетские забавы
Это не первый раз, когда невинные детские игрушки обвиняют в фактическом шпионаже. В конце 2016 года в центре внимания оказалась кукла Cayla от американской компании Genesis Toys. Эта кукла могла общаться с ребенком и отвечать на его вопросы, получая информацию из интернета.
После того как было обнаружено, что Cayla записывала разговоры и отправляла их в некую третью компанию, специализирующуюся на распознавании речи, эта игрушка была официально запрещена на территории Германии.
Федеральное сетевое агентство страны признало Cayla замаскированным шпионским устройством и попросило родителей «избавиться» от опасной куклы.
Кроме того, в незаконном сборе данных были замечены и «игрушки для взрослых» — вибраторы We-Vibe 4 Plus, которые управляются с помощью смартфона.
Как выяснилось, канадская компания-производитель собирала личную информацию о пользователях своего устройства в режиме реального времени, фиксируя момент включения девайса, его температуру и другие данные, тем самым нарушая закон о неприкосновенности частной жизни.