В сеть утекли 2 млн сообщений с умных детских игрушек CloudPets
Новые модели умных устройств продолжают появляться каждый день. Сейчас гаджеты — это уже не только часы, трекеры или выключатели. Умнеют даже детские игрушки. Например, компания CloudPets производит подключенные к Интернету игрушки, которые позволяют детям и родителям обмениваться голосовыми сообщениями. Передача информации осуществляется по беспроводной связи, при подключении игровой системы к телефону или планшету с предустановленным фирменным приложением. Сжав лапку игрушки, ребенок активирует игрушку и может передать голосовое сообщение, которое поступает на смартфон. Родители, в свою очередь, используют для передачи голосовых сообщений мобильное устройство. Как только это сообщение приходит, у игрушки начинает мигать лампочка в виде сердца. Нажав на нее, ребенок может прослушать сообщение мамы или папы.
Принцип довольно простой, так что этой системой связи могут пользоваться дети 3–7 лет и старше. Благодаря своим особенностям игрушки от CloudPets стали очень популярными. Через сервера компании ежедневно проходили тысячи сообщений владельцев умных мишек, коровок или свинок, причем записи хранились в облаке, на случай, если владелец игрушки пожелает повторно прослушать сообщения. К сожалению, разработчики не слишком хорошо позаботились о безопасности хранимых у себя данных. Сервера были скомпрометированы злоумышленниками, которые увели данные более чем 800 000 учетных записей вместе с голосовыми сообщениями.
В случившемся стоит винить компанию, поскольку учетные записи пользователей хранились в базе данных MongoDB, не закрытой паролем или файерволлом. Фактически, информация лежала в открытом виде. Злоумышленники, как полагают эксперты по сетевой безопасности, обнаружили эту информацию при помощи поискового сервиса Shodan, который позволяет искать подключенные к сети и незащищенные от стороннего вмешательства IoT-устройства, сервисы и сайты.
В защиту компании можно сказать, что информация в БД была зашифрована при помощи bcrypt. Но большинство паролей пользователей оказались настолько простыми, что злоумышленники взломали их без особого труда. Речь идет об уровне защиты своих данных паролями типа »12345».
Как оказалось, к базе данных злоумышленники приложили руки не один раз, а минимум дважды. Кроме того, изучали ее и специалисты по информационной безопасности. К слову, злоумышленники чаще всего ищут базы данных MongoDB для того, чтобы внедрить вместо хранимой в них информации пользователей зловредное ПО. Удивляться случившемуся не приходится: эксперты все время говорят о том, что производители IoT устройств уделяют много внимания функциональности и дизайну своих продуктов, но почему-то не слишком беспокоятся о защите своих сервисов и сайтов от внешнего вмешательства.
Один из экспертов, принимавших участие в расследовании взлома, говорит, что для того, чтобы данные пользователей умных игрушек попали в общий доступ, достаточно пары мелких ошибок со стороны разработчиков облачных сервисов, к которым такие игрушки подключаются. Ну, а если о безопасности и вовсе не беспокоиться, то ничего хорошего ждать не приходится.
Проблемы в защите информации пользователей не только у CloudPets. Два года назад аналогичная ситуация произошла с данными пользователей еще одного производителя игрушек, компании VTech. Тогда в сеть утекло более 4,8 млн записей, включая e-mail, даты рождения и т. п. У VTech некоторые данные хранились вообще в открытом виде, так что взлом был лишь делом времени. Что касается CloudPets, то здесь киберпреступники получили данные учетных записей 821 396 пользователей, 371 970 связанных учеток и более 2 млн голосовых сообщений.
С голосовыми сообщениями ситуация несколько иная, чем с базой данных. Аудиозаписи не хранились во взломанной базе данных. Вместо этого компания размещала их на серверах Amazon S3, причем аутентификация для получения доступа не требовалась. Чтобы прослушать сообщения, нужен лишь URL файла. А вот ссылки на аудио хранились в учетных записях взломанной базы данных. При взломе учетки злоумышленники получают все сохраненные данные, включая URL всех отправленных или полученных пользователем сообщений.
Хуже всего то, что сервера компании были скомпрометированы еще в декабре прошлого года, но производитель игрушек до сих пор не известил пользователей о проблеме. Некоторые специалисты по кибербезопасности пытались связаться с представителями CloudPets, но никакой реакции не последовало. В результате 12 января БД была стерта очередными злоумышленниками, которые искали незащищённые серверы MongoDB.
«Я пытался связаться по e-mail, Linkedin, Zendesk и Twitter. Я даже пытался связаться с людьми, используя частные адреса электронной почты. Ответа нет», — говорит Виктор Джеверс (Victor Gevers), председатель некоммерческой организации GDI Foundation, расследующей случаи взлома.
Теперь о взломе стало известно, и родители, купившие своим детям умные игрушки от CloudPets, начали переживать. «Мои худшие опасения — то, что кто-то может использовать эту информацию для того, чтобы отправлять сообщения моей шестилетней дочери. Мои родители уж точно не будут больше отправлять сообщения своей внучке таким путем», — заявил Джейсон Пейджел, посетитель семинара, на котором выступали специалисты по кибербезопасности с докладом об утечке данных с серверов CloudPets.
Представители компании, в свою очередь, утверждают, что доказательств того, что взломщики получили информацию пользовательских учетных записей, нет. Тем не менее, CloudPets собирается выполнить сброс паролей для всех пользователей в качестве меры безопасности.