Интерактивные игрушки CloudPets, созданные американской компанией Spiral Toys, записывали разговоры детей и родителей и сливали записи в интернет, где они были доступны любому. Об этом в своём блоге рассказал Трой Хант, создатель сайта Have I Been Pwned?, который следит за утечками пользовательских данных из интернет-сервисов.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Плюшевые медведи, собачки, слоники, кошки, единороги и другие милые плюшевые игрушки из-за безалаберности Spiral Toys превратились в шпионские устройства, а их обладатели подверглись нападкам злоумышленников и даже шантажу.

Компания Spiral Toys позволяет родителям записывать послания для детей через мобильное приложение и отправлять их на игрушки. После того, как игрушка озвучит послание ребёнку, он может ответить, записав ответ, который будет отправлен родителям.



Трой Хант нашёл в свободном доступе базу данных, слитую у Spiral Toys. Предполагается, что источником утечки стала румынская компания mReady, которая оказывает Spiral Toys какие-то услуги. В этой базе содержалась информация о 821 296 учётных записях: имена, фамилии, логины, пароли, адреса электронной почты, а также 2 182 337 аудиозаписей с посланиями детям и родителям. Хант отмечает, что многие пользователи использовали очень простые пароли для сервиса CloudPets, и эти пароли вполне могут подойти к другим учётным записям пользователей (например, к email).

База данных CloudPets использовалась злоумышленниками — она несколько раз перезаписывалась, и в ней обнаружены данные, свидетельствующие о том, что кто-то вымогал у пользователей деньги в обмен на удаление информации. Голосовые сообщения хранились на сервере Amazon S3, причём доступ к ним осуществлялся без аутентификации, то есть их мог прослушать любой желающий. В базе данных содержалась информация, которая позволяла определить, какому пользователю принадлежат те или иные записи.

Глава Spiral Toys Марк Майерс отрицает всё, что можно, даже самое очевидное: сам факт взлома, требование выкупа за удаление записей, а также возможность послушать чужие сообщения. По его словам, ни один пользователь игрушек CloudPets не высказал компании претензий. Трой Хант утверждает обратное и говорит, что проблема была устранена только после того, как он опубликовал подробное расследование.

Этот инцидент лишний раз доказал, что создатели инновационных гаджетов стараются успевать за прогрессом, но совершенно забывают о простейших мерах безопасности для своих пользователей.