Zu einer Datenpanne kam es beim Spielzeughersteller Spiral Toys: Eine Kundendatenbank zu den vernetzten CloudPets stand zeitweise ungeschützt im Netz.
Zu einer Datenpanne kam es beim Spielzeughersteller Spiral Toys: Offenbar stand eine Kundendatenbank zu vernetzten Kuscheltieren zeitweise ungeschützt im Netz. Entsprechende Hinweise ignorierte der Hersteller. So waren an die zwei Millionen Sprachnachrichten, die die CloudPets abgespielt haben, frei im Internet zugänglich, laut Bericht von Motherboard.
Daten von CloudPets offen im Netz
Sorgte erst kürzlich „My friend Cayla“ für negative Schlagzeilen, lassen neue Nachrichten mit ähnlichen Inhalten nicht lange auf sich warten. Nur knapp zwei Wochen nachdem die Bundesnetzagentur die smarte Puppe Cayla in Deutschland verboten hat, sorgt nun ein weiteres smartes Spielzeug für jede Menge Ärger.
Das Motto des US-Herstellers Spiral Toys für seine CloudPets lautet: „A Message You Can Hug“. Der Spielzeug-Hersteller Spiral Toys bietet mit CloudPets vernetzte Kuscheltiere an, über die Kinder mit Familienangehörigen oder Freunden Nachrichten austauschen können, die über eine App geschickt werden. Die Botschaften spricht man direkt in das im Stofftier integrierte Mikrofon. Nachdem die Eltern, Verwandte oder Freunde die Nachricht autorisiert haben, leuchtet das Herz der Tiere rot.
Drückt das Kind nun deren Pfoten, spielt das Spielzeug die Sprachaufnahme ab. Der Teddybär sagt dann etwa in der Stimme der Mama „Ich hab` dich lieb“ oder „Schlaf gut, mein Schatz“. Das Spielzeug verfügt über eine Internetverbindung, wobei die Nachrichten per Bluetooth von einem Smartphone oder Tablet an das Spielzeug weitergeleitet werden. Die entsprechenden Sounddateien legte man dann auf einem Webserver ab. Auf einem anderen Server, der öffentlich zugänglich war, haben offenbar die Kundendaten des Herstellers gelegen.
820.000 Datensätze & Sprachnachrichten veröffentlicht
Es wurde nun bekannt, dass zwei Millionen Sprachnachrichten, die zwischen Kindern und Eltern ausgetauscht wurden, aus dem kalifornischen Spielzeug offen im Internet verfügbar gewesen sind, mindestens in der Zeit von Weihnachten 2016 bis in die erste Januarwoche 2017. Jeder konnte die Nachrichten herunterladen und anhören. Zusätzlich zu den Sprachnachrichten waren ebenso ca. 820.000 Datensätze im Netz abrufbar, die weit über bloße Sprachnachrichten hinausgingen, nämlich Account-Daten mit verschlüsselten Passwortangaben sowie Benutzernamen, E-Mail-Adressen, Profilbilder der Kunden, die Namen ihrer Kinder und die Verwandtschaftsverhältnisse.
Sicherheitsforscher Troy Hunt berichtet darüber in einem Blogbeitrag. Er hatte einen Hinweis auf die offene Datenbank bekommen. Demnach sei die Datenbank von der Internet-of-Things-Suchmaschine Shodan indiziert worden und somit praktisch für jedermann auffindbar gewesen. Laut Hunt wurden diese Daten zwischen dem 25. Dezember und 8. Januar auch mehrfach von Unbekannten abgerufen. Sie wurden von Hackern dann dafür eingesetzt, Betroffene zu erpressen. Cyberkriminelle sollen zudem die komplette Datenbank Anfang Januar verschlüsselt haben und anschließend hätten sie Lösegeld von den Betreibern gefordert.
Viele Passwörter waren simpel, Hersteller tat nichts dagegen
Laut dem Bericht von Motherboard hat Spiral Toys keine Richtlinien über besonders geschützte Passwörter für ihre User verordnet, damit sind auch Passwörter wie „pet“ oder „1234“ möglich gewesen. Laut Troy Hunt war es durch diesen Sicherheitsmangel möglich, die Passwörter ganz einfach zu erraten.
Nach dem Sicherheitsforscher hat man den Hersteller mindestens vier Mal erfolglos auf die Schwachstelle aufmerksam gemacht. Deshalb liegt der Verdacht nahe, dass man die Sache vertuschen wollte. Zudem hielt der Spielwarenhersteller es auch nicht für nötig, die Eltern, die diese Teddybären kauften, über die gravierende Sicherheitslücke zu benachrichtigen.
Tarnkappe.info