De millions de conversations privées entre des parents et leurs jeunes enfants ont été exposés à cause d’une faille de sécurité d’un jouet connecté à Internet.
Un vol de données dans une entreprise qui produit des jouets connectés à Internet a exposé des mots de passe, des e-mails et plus de 2 millions de messages privés enregistrés entre les parents et leurs enfants.
Le hack, découvert par le chercheur en sécurité Troy Hunt, concernait des données provenant de Spiral Toys Inc., la société derrière les ours en peluche reliés à Internet vendus sous le nom de CloudPets qui permettent aux enfants d’envoyer des messages à leurs parents et vice versa.
Hunt allègue que les données ont été publiquement exposées via une base de données MongoDB, disponible en ligne et qui ne nécessitait aucune authentification pour y accéder. Cela signifie que n’importe qui pouvait avoir accès aux données et les télécharger. Et apparemment certaines personnes l’ont fait. Hunt note que les recherches utilisant le moteur de recherche Shodan, un site du deep web qui indexe les données ouvertes (open data), ainsi que d’autres éléments indiquent qu’entre le 25 décembre et le 8 janvier, les données des clients ont été consultées plusieurs fois par des personnes différentes.
Hunt a également trouvé des indices révélant que les données avaient non seulement été téléchargées par des pirates, mais aussi détenues pour servir de rançon à plusieurs reprises par différents hackers, chacun ayant fait ses propres demandes de rançon.
Le seul potentiel point positif de ce vol de données est que les mots de passe utilisés le cryptage bcrypt, ce qui les rend difficiles à cracker. Toutefois, dans un autre énorme échec de sécurité, CloudPets n’avait pas de normes minimales sur la force du mot de passe, ce qui signifie qu’une seule lettre comme «a» pouvait servir de mot de passe. Cela a permis à Hunt de déchiffrer un certain nombre de mots de passe en les vérifiant contre des termes communs tels qwerty, 123456 et même le terme cloudpets.
Bien que Spiral Toys est clairement à blâmer, les données ont été hébergées sur Amazon Web Services, ce qui amène certains experts à sensibiliser des fournisseurs d’hébergement cloud pour renforcer leurs systèmes et ainsi garder les données hébergées en toute sécurité.
CloudPets n’est pas le premier fabricant de jouets connectés à subir un vol de données ou être victime d’un piratage. Des entreprises comme VTech et Fisher Price ont déjà eu des problèmes semblables, ce qui a poussé Hunt à donner des conseils à tous les parents concernés par la vie privée de leurs enfants:
Vous devez présumer que des données comme celle-ci se retrouveront dans les mains des autres …. Il ne suffit que d’une petite erreur du dépositaire de données, comme une mauvaise configuration de la sécurité de la base de données, et chaque élément de données qu’ils détiennent sur vous et votre famille peuvent être dans le domaine public en quelques minutes. a-t-il expliqué.
Pour sa part, CloudPets n’a pas encore commenté publiquement l’incident.
