聪明的泰迪熊涉及有争议的数据泄露

2022-02-24 19:46:00来源:

如果您拥有来自CloudPets的填充动物,那么您最好将密码更改为产品。玩具 - 可以接收和发送来自儿童和父母的语音消息 - 已经参与了涉及超过800,000名用户帐户的数据漏洞。

周一抓住了头条新闻的违规行为正在提高安全研究人员的担忧,因为它可能会让黑客访问玩具客户的录音。但公司背后的公司螺旋玩具,否认任何客户被黑客攻击。

“是被盗的录音吗?绝对不是,“公司首席执行官Mark Meyers说。

追踪数据泄露的安全研究员特洛伊亨特将事件带入星期一。黑客似乎已经访问了一个公开的CloudPets“数据库,其中包含了电子邮件地址和哈希密码,他们甚至试图在1月份赎金,他在博客帖子中说。

他补充说,该事件强调了连接设备的危险,包括玩具,以及如何暴露通过它们的数据如何暴露。

[进一步阅读:在这里“为什么科技玩具是危险的”

在CloudPets的情况下,据称,该品牌据称在公开公开的在线MongoDB数据库中存储客户信息,无需进行身份验证。允许任何包括黑客,包括黑客的人查看和窃取数据。

在加方面,用Bcrypt算法散列暴露在漏洞中的密码,使它们难以破解。不幸的是,CloudPets没有对密码强度的要求,这意味着亨特凭据据狩猎,甚至是字母“A”的单一角色也是可以接受的,这是上周被盗数据的副本。

因此,通过仅对QWERTY,123456和Cloudpets等共同术语来检查它们,Hunt能够解密大量密码。

“任何有数据的人都可以破解大量密码,登录帐户并下拉语音录制,”亨特在他的博客文章中说。

从GDI基金会的安全研究员Victor Gevers表示,他还发现了来自CloudPets的公开数据库,并试图在12月底与玩具制造商联系。

然而,GEVERS和HUNT都表示,该公司从未回应过重复的警告。

周一,加利福尼亚州为基于Cloudpets品牌的螺旋玩具,声称公司从未收到警告。

“说,说在互联网上泄露200万条消息的头条新闻完全是假的,”迈耶斯说。

在副媒体从上周联系他们后,他的公司只有意识到这个问题。“我们看着它,并认为这是一个非常微不足道的问题,”他说。

他说,只有一个恶意演员才能访问客户的语音录制,仅当他们设法猜测密码时,他说。

“我们必须找到平衡,”迈耶斯说,当他解决玩具制造商缺乏密码强度要求时。“多少是太多了?”

他还说,螺旋玩具将其服务器管理外包给第三方供应商。1月份,该公司实施了MongoDB所要求的更改,要求增加服务器的安全性。

螺旋玩具并未成为唯一有针对性的公司。最近几个月,几个黑客团体一直在攻击数千个公开暴露的MongoDB数据库。他们通过擦除数据来完成,然后说他们可以恢复它,但只有受害者签订赎金费。

在CloudPets事件中,不同的黑客似乎已经删除了原始数据库,但亨特表示,对暴露的系统留下了赎金说明。

虽然CloudPets的数据库不再可公开访问,但亨特说,玩具制造商似乎没有通知客户的漏洞。危险是,黑客可能正在使用被盗信息闯入在玩具中注册的客户帐户。

但是Meyers表示,该公司没有发现任何黑客闯入客户账户的证据。为了保护其用户,该公司正计划为所有用户重置密码。“也许我们的解决方案是放置更复杂的密码,”他说。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章