本文讲的是联网玩具CloudPets 泰迪熊泄漏数百万语音信息,
智能玩具引发全民恐慌
仅仅几周前,一款名为“Cayla”的智能玩偶不仅遭到了德国的禁售,也引起了全球各地父母的担忧,他们主要担忧的一个潜在威胁就是:孩子和其他人之间的对话会被记录和转发。
其实,Cayla并不是第一个引发大规模担忧的联网玩具,大概一年多前一款名为“Hello Barbie”的玩具也因为同样的原因登上舆论风口。说实话,智能玩具确实是时代发展衍生的“很酷”的产物,但是我和很多人一样,并不想自己的孩子接触到它们。
近日,联网玩具 CloudPets 的生产商 Spiral Toys同样遭遇数据泄漏事件,泄漏了超过 2 百万儿童及其父母的语音信息,以及超过 80 万电子邮件和密码。
泄漏细节分析
Have I Been Pwned? 的维护者Troy Hunt在其博客上称,Shodan搜索引擎和其它证据显示,在 12 月 25 日 到 1 月 8 日之间 ,多方多次访问了CloudPets客户的数据。他表示,在上周早些时候他就收到了有人发送给他的数据,里面包含大约583k的用户账号记录,这些数据后来被证实属于CloudPets泄漏的部分数据。
【部分泄漏账户】
CloudPets 客户的数据储存在亚马逊的云服务上,不需要身份验证就能访问。而且有趣的是,CloudPets博客自2015年以来就没再更新,并且没有任何关于安全问题的公告。Spiral Toys 的 MongoDB 数据库则由一家罗马尼亚公司 mReady 维护,基本上也没有任何安全防护措施。
再说回给Troy Hunt发送这些数据的人,据称他曾在发现数据泄漏后多次尝试通过电子邮件联系CloudPets告知他们此事,但是最终为得到CloudPets和Spiral Toys的任何回应。
注意上图所示的数据——超过820k的用户数据,这说明Troy Hunt最初收到的583 k数据并不是全部内容。
【CloudPets数据库】
【用户记录821396条】
【语音信息记录2182337条】
给Troy Hunt发送数据的人曾在12月30日联系CloudPets,并发送了如下信息:“我想要通知你,在攻击者扫描因配置不当或是缺乏防火墙保护的MongoDB数据库时,CloudPets的数据库被覆盖了两次。”但是显然CloudPets不仅忽略了他的善意提醒,甚至没有阅读之前发送的电子邮件。
虽然录音不在开放的MongoDB数据库中,但是Spiral Toys使用开放的亚马逊托管服务,不需要身份认证就能够访问录音、用户个人资料、图片、儿童及他们父母的姓名、地址等信息。
据悉,此次遭泄露的密码用bcrypt算法进行了哈希处理,很难破解。但是,由于CloudPets对密码强度没有要求,这意味着即使是诸如“a”这样的单个字符也可以设为密码。 因此,Hunt仅通过猜测诸如“qwerty”、“123456”、“cloudpets”这样的常用组合就破解了大量密码。
【破解的bcrypt哈希】
Hunt在博文中表示:
因为没有任何密码强度的要求,只要有数据任何人都能破解大量密码,登录账户,获取录音。
如何检测?
这个事件再次为智能玩具的安全性敲响了警钟,下一次你还会为你的孩子购买最新的联网智能玩具吗?但是如果您已经拥有CloudPets的账户,建议您登录“Have I Been Pwned?”网站自行检测,该网站收录了所有的泄漏数据,自然也包括CloudPets泄漏的用户帐号。
如果您发现自己的帐户已经遭到泄漏,建议您立即更改密码,并考虑停止使用CloudPets智能玩具。此外,我们还建议您对与CloudPets帐户使用了相同密码的任何其他在线帐户进行修改。
其实,这已经不是第一次联网玩具的信息泄露。2015年世界最大的电子玩具生产商之一伟易达集团(VTech)就曾因黑客攻击,暴露了世界各地约640万儿童的个人资料,包括孩子的姓名、性别、出生日期、照片以及父母信息、家庭住址、聊天记录等。智能玩具以及MongoDB数据库的安全性问题开始成为考验用户和安全专家的又一重要命题。
原文发布时间为:2017年3月2日
本文作者:小二郎
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。