В течение двух недель база данных владельцев игрушек CloudPets была доступна в интернете любому желающему.
Компания-производитель «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями, не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей и 2 млн сообщений, сделав их доступными через интернет любому желающему.
В течение как минимум двух недель в декабре-январе данные владельцев игрушек CloudPets производства компании Spiral Toys хранились в БД MongoDB, незащищенной паролем или межсетевым экраном. Базу легко можно было найти с помощью поисковой системы Shodan, сообщает издание Motherboard со ссылкой на ряд исследователей безопасности.
Незащищенными оказались более 800 тыс. логинов и паролей, хешированных с помощью bcrypt. Данная криптографическая хеш-функция считается надежной, однако многие пароли оказались настолько слабыми, что взломать их вполне реально, сообщил ИБ-эксперт Трой Хант (Troy Hunt).
Пока БД оставалась незащищенной, к ней получили доступ по крайней мере два исследователя, а возможно, и хакеры. По словам экспертов, в начале января, когда киберпреступники активно сканировали интернет на наличие открытых MongoDB с целью заражения их вымогательским ПО, данные CloudPets перезаписывались дважды.
В последнее время устройства «Интернета вещей» (IoT) вызывают большое беспокойство у ИБ-экспертов. В частности, на прошлой неделе Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол My Friend Cayla. Как пояснил регулятор, игрушка записывает и отправляет разговоры детей на сервер производителя, который оставил за собой право передавать их третьим сторонам.Данный инцидент – лишь одно из первых следствий развития так называемого Интернета вещей. Нисколько не сомневаюсь, что мы еще неоднократно будем свидетелями подобных и намного более громких утечек, связанных с Интернетом вещей.
Это является следствием перекоса в вопросах внедрения новых технологий и обеспечения их безопасности. Традиционно сложилось, что обеспечение безопасности использования технологий в сфере IT «плетется в хвосте паровоза». Все происходит по схеме: разработка технологии – активное ее внедрение с крайне слабой проработкой вопросов информационной безопасности - серия взломов/утечек – латание дыр в безопасности.
Какую угрозу могут нести подобные взломы?
В данной ситуации присутствуют классические угрозы:
- риск утечки конфиденциальной информации в виде кражи и дальнейшего противоправного использования персональной информации пользователей данных вещей.
- широкие возможности для шпионажа за их владельцами: запись разговоров; определение текущего местонахождения; в ряде случаев несанкционированное получение фото- и видео- записей.
Какие меры стоит предпринять родителям для безопасного использования подобных устройств?
На мой взгляд, стоит временно отказаться от их использования до устранения дыр в безопасности.
Олег Бойко, специалист по информационной безопасности Департамента информационных технологий города Москвы
Стандарты по обеспечению безопасности в IoT-индустрии еще не сформировались. Каждый производитель сам принимает решение, что и как он будет защищать. Но так как рынок быстрорастущий, то производители ставят во главе угла удобство использования и скорость вывода продукта на рынок, нередко в ущерб безопасности. Что характерно, в истории с мишками злоумышленники взломали не сами игрушки, они получили доступ к базам данных компании, в которых хранилась информация с игрушек. То есть это не уязвимость игрушек (IoT), а банальное разгильдяйство - БД была доступна из интернета без пароля и межсетевого экрана.
Какую угрозу могут нести подобные взломы? Злоумышленники получают доступ к очень личной информации, которую могут использовать для шантажа или травли, перепродажи третьим лицам. Известна история, когда ребенка напугали через «умную» радионяню ( https://geektimes.ru/post/269474/) .
Какие меры стоит предпринять родителям для безопасного использования подобных устройств? Во-первых, запретить или ограничить им выход в интернет, это уменьшит поток передаваемой в сторону производителя информации. Регулярно отслеживать обновления ПО. При возможности применять настройки безопасности в соответствии с рекомендациями производителя. Внимательно читать лицензионные соглашения, копаться в настройках. Рынок молодой и сырых решений здесь еще очень много, неопытным пользователям важно понимать, с каким риском им придется мириться, используя «умные» игрушки.
Никаких овечек — только отборные научные факты