Onderzoekers hebben uitgehaald naar de datalekmelding van een speelgoedfabrikant die 2,2 miljoen berichten van kinderen en ouders op internet lekte die via een slimme teddybeer waren opgenomen. Het gaat om de teddyberen van CloudPets, dat onderdeel van speelgoedfabrikant Spiral Toys is.
De teddyberen maken het voor kinderen en ouders mogelijk om via het internet en de teddybeer berichten met elkaar uit te wisselen. Spiral Toys bleek de gegevens van CloudPets-gebruikers in een onbeveiligde database op te slaan waar ze voor het gehele internet toegankelijk waren. Aanvallers wisten zodoende toegang tot de database te krijgen en gijzelden die voor losgeld. Zowel eigenaren van de teddybeer, onderzoekers als journalisten waarschuwden Spiral Toys voor de onbeveiligde database, maar kregen geen enkele reactie van de fabrikant.
Nu heeft Spiral Toys een datalekmelding naar de Californische autoriteiten gestuurd (pdf) en voor het eerst op het incident gereageerd. Volgens de directeur van Spiral Toys zijn berichten dat er 2,2 miljoen berichten zijn gelekt onjuist. Ook zou het bedrijf nooit de waarschuwingen over het datalek hebben ontvangen, zo laat de directeur tegenover IDG weten. Daarnaast dacht Spiral Toys dat het om een "klein probleem" ging.
In een tweede reactie verklaart de directeur echter dat het bedrijf meerdere keren door een journalist was benaderd. "Maar je gaat niet tegenover een wildvreemde op een datalek reageren", aldus de directeur. Hij zou verder hebben gezegd dat de journalist van Vice Magazine geen goede reputatie heeft en waarschijnlijk een negatief artikel zou schrijven. Verder stelt de directeur dat er meerdere rechtszaken tegen Vice Magazine lopen.
In de datalekmelding aan de Californische autoriteiten verklaart Spiral Toys verschillende zaken die volgens de Australische beveiligingsonderzoeker Troy Hunt niet kloppen. Zo beweert het bedrijf pas op 22 februari over het datalek te zijn ingelicht, terwijl dat in werkelijkheid al op 31 december vorig jaar was. Verder stelt Spiral Toys dat gebruikers nu veiligere wachtwoorden moeten gebruiken, maar een wachtwoord als 'cloudpets' wordt nog steeds geaccepteerd. Ook ontkent de speelgoedfabrikant door criminelen te zijn benaderd die de database voor losgeld hadden gegijzeld. Verder laat het bedrijf weten dat 500.000 gebruikers gedupeerd zijn geraakt, terwijl de database van meer dan 800.000 gebruikers de gegevens bevatte.
Deze posting is gelocked. Reageren is niet meer mogelijk.