Onderzoekers hekelen datalekmelding speelgoedfabrikant
Onderzoekers hebben uitgehaald naar de datalekmelding van een speelgoedfabrikant die 2,2 miljoen berichten van kinderen en ouders op internet lekte die via een slimme teddybeer waren opgenomen. Het gaat om de teddyberen van CloudPets, dat onderdeel van speelgoedfabrikant Spiral Toys is.
De teddyberen maken het voor kinderen en ouders mogelijk om via het internet en de teddybeer berichten met elkaar uit te wisselen. Spiral Toys bleek de gegevens van CloudPets-gebruikers in een onbeveiligde database op te slaan waar ze voor het gehele internet toegankelijk waren. Aanvallers wisten zodoende toegang tot de database te krijgen en gijzelden die voor losgeld. Zowel eigenaren van de teddybeer, onderzoekers als journalisten waarschuwden Spiral Toys voor de onbeveiligde database, maar kregen geen enkele reactie van de fabrikant.
Nu heeft Spiral Toys een datalekmelding naar de Californische autoriteiten gestuurd (pdf) en voor het eerst op het incident gereageerd. Volgens de directeur van Spiral Toys zijn berichten dat er 2,2 miljoen berichten zijn gelekt onjuist. Ook zou het bedrijf nooit de waarschuwingen over het datalek hebben ontvangen, zo laat de directeur tegenover IDG weten. Daarnaast dacht Spiral Toys dat het om een "klein probleem" ging.
In een tweede reactie verklaart de directeur echter dat het bedrijf meerdere keren door een journalist was benaderd. "Maar je gaat niet tegenover een wildvreemde op een datalek reageren", aldus de directeur. Hij zou verder hebben gezegd dat de journalist van Vice Magazine geen goede reputatie heeft en waarschijnlijk een negatief artikel zou schrijven. Verder stelt de directeur dat er meerdere rechtszaken tegen Vice Magazine lopen.
In de datalekmelding aan de Californische autoriteiten verklaart Spiral Toys verschillende zaken die volgens de Australische beveiligingsonderzoeker Troy Hunt niet kloppen. Zo beweert het bedrijf pas op 22 februari over het datalek te zijn ingelicht, terwijl dat in werkelijkheid al op 31 december vorig jaar was. Verder stelt Spiral Toys dat gebruikers nu veiligere wachtwoorden moeten gebruiken, maar een wachtwoord als 'cloudpets' wordt nog steeds geaccepteerd. Ook ontkent de speelgoedfabrikant door criminelen te zijn benaderd die de database voor losgeld hadden gegijzeld. Verder laat het bedrijf weten dat 500.000 gebruikers gedupeerd zijn geraakt, terwijl de database van meer dan 800.000 gebruikers de gegevens bevatte.
En misschien een paar aandeelhouders die er niet in slagen om nog wat geld te krijgen voor hun aandelen.
Die aandeelhouders investeren vervolgens weer in een nieuw bedrijf dat op precies dezelfde manier tewerk gaat. Immers, IoT is veel geld waard en er valt veel winst mee te behalen.
Ten slotte is het niet het bedrijf maar de directie die zich aan deze misstanden schuldig heeft gemaakt. Die komen er ongestraft mee weg.
---
Verder is het probleem natuurlijk dat de CloudPets producten bij Amazon nog steeds drie sterren of meer hebben. En de negatieve reviews hebben nog weinig te maken met deze datalekken. Eerder met gebruikers die deze troep niet aan de praat krijgen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
