image

Slimme teddybeer lekt 2,2 miljoen opgenomen berichten

dinsdag 28 februari 2017, 10:05 door Redactie, 7 reacties

Het bedrijf achter een slimme teddybeer die kinderen de mogelijkheid geeft om berichten op te nemen en naar anderen door te sturen, heeft 2,2 miljoen opgenomen berichten op internet gelekt. Het gaat om de teddyberen van speelgoedfabrikant CloudPets, dat onderdeel van Spiral Toys is.

Kinderen kunnen via de teddybeer berichten naar bijvoorbeeld hun ouders sturen. Ouders kunnen via de CloudPets-app hier weer op antwoorden. Deze berichten werden echter in een onbeveiligde MongoDB-database opgeslagen waar ze voor het gehele internet toegankelijk waren. Het gaat om 2,2 miljoen opnames, zo meldt de Australische beveiligingsonderzoeker Troy Hunt. Daarnaast bevatte de database 820.000 records van gebruikeraccounts, waaronder wachtwoodhashes.

Hunt werd gewaarschuwd door een gebruiker die CloudPets al drie keer had gewaarschuwd dat de database voor iedereen toegankelijk was, maar hij ontving geen reactie. De Australische beveiligingsonderzoeker stapte naar Vice Magazine om de kwetsbaarheid verder te onderzoeken. Vice Magazine was echter al door iemand anders over het datalek getipt. Ook deze tipgever had CloudPets gewaarschuwd.

Aanval

Onbeveiligde MongoDB-databases worden al enige tijd aangevallen en voor losgeld gegijzeld. Aanvallers verwijderen de inhoud van de database en laten een bericht achter dat er losgeld moet worden betaald als de organisatie de gegevens terug wil. Uit onderzoek van Hunt blijkt dat de database van CloudPets meerdere keren door derden is benaderd en voor losgeld gegijzeld.

Volgens Hunt moet CloudPets dan ook hebben geweten dat de database onbeveiligd was en is aangevallen. Ouders zijn echter nooit over het datalek ingelicht. Het bedrijf verkeert al enige tijd in financieel zwaar weer. Het Twitter-account wordt al maanden niet meer onderhouden en ook Hunt en Vice Magazine kregen geen reactie toen ze het bedrijf met het datalek confronteerden. Inmiddels is de onbeveiligde database niet meer toegankelijk.

Image

Reacties (7)
28-02-2017, 10:23 door Anoniem
dom = fabrikant x slim

dus: hoe groter de fabrikant en hoe slimmer het product hoe dommer het eindresultaat...
28-02-2017, 10:33 door Anoniem
De enige manier om dit soort zaken tegen te gaan is de bestuurders van de bedrijven HARD aanpakken, persoonlijk aansprakelijk stellen en strafrechtelijk vervolgen.
28-02-2017, 11:23 door Anoniem
Yesh, elke opname 1000 euro boete. Gaan we weer. Dat zou waarschijnlijk failisement betekenen. Wat helemaal niet erg is.

TheYOSH
28-02-2017, 12:54 door Anoniem
Het wordt toch een trieste wereld. Kinderen die via hun teddybeer tegen hun ouders praten die op hun beurt via een CloudPets app terug praten. Wat is er toch mis met het klassieke speelgoed en ouders die gewoon samen met hun kind thuis spelen.

Zoals TheYOSH al zegt: Helemaal niet erg als dit soort firma's failliet gaan.
28-02-2017, 14:49 door Anoniem
Naast de diepe droefenis over boosaardige beren in de wolken, was er geen andere mogelijkheid om te denken aan de dialoog hier:
http://www.mongodb-is-web-scale.com/
28-02-2017, 14:56 door Anoniem
Dit het toont ook onomstotelijk weer aan hoe onveilig een verbinding kan zijn. Uw outsourcing is net zo veilig als de verbinding waarover die loopt.

iAAs security wordt steeds belangrijker: Recent hier nog de CloudFlare misser zien passeren? I.d.g. CloudPets.

Nu weer een zielige peuter als slachtoffer van de domme orwelliaanse besluiten van de ouders of verzorgers. Straks de dementerende oudere via een wegloop app, misschien? Wat staat ons allemaal nog aan onnodige toegevoegde ellende te wachten?

Uw Grootgrut-hamster die uw koopgedrag analyseert met wat zo'n knuffel aan gesprekken opvangt? Staat die wellicht al op uw nachtkastje of in de steigers? Een remote afluisterapparaatje in de vorm van een troeteldier.

Bent u een papagaai, u zult behandeld worden als een papagaai, echt. Veertienhonderd jaar geleden is dit al voorspeld. De bedoeinen zonder sandalen zouden nu de hoogste torens bouwen en de mens zou "een soort van stok" bezitten, die tegen hen sprak (de smartphone).

Bulk hosting in het buitenland uw clouddata toevertrouwen. Bij datalekken CEO's hoofdelijk aansprakelijk stellen, dan wordt ineens een security officer een wat belangrijkere schakel in het geheel en niet overruled door afdeling managment, commercie en communicatie, die met een externe cloudoplossing hopen alles voor elkaar te hebben en wat dat aangaat achterover kunnen leunen. Wie maakt hen wat als het weer elders fout gaat met hun data?

Ze wijzen in zo'n geval maar wat graag naar een ander of elkander.
28-02-2017, 17:20 door Anoniem
Alles wat de cloud ingaat moet van te voren stevig encrypted zijn met een sleutel die niet bekend is in de cloud,
en daar dus ook niet kan worden gestolen of misbruikt.
En er mogen geen "plain" uitvoeringen van die bestanden bestaan waar de clouddienst leverancier(s) eventueel nog gewoon bij kunnen. Zo niet, dan adviseer ik geen clouddienst te gebruiken.
(zeg maar: "cloudpets" en "cloudpest" is in letters maar een klein verschilletje...)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.