«Умные» плюшевые мишки раскрыли данные 800 тыс. пользователей

Компания-производитель «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями, не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей и 2 млн сообщений, сделав их доступными через интернет любому желающему.

В течение как минимум двух недель в декабре-январе данные владельцев игрушек CloudPets производства компании Spiral Toys хранились в БД MongoDB, незащищенной паролем или межсетевым экраном. Базу легко можно было найти с помощью поисковой системы Shodan, сообщает издание Motherboard со ссылкой на ряд исследователей безопасности.

Незащищенными оказались более 800 тыс. логинов и паролей, хешированных с помощью bcrypt. Данная криптографическая хеш-функция считается надежной, однако многие пароли оказались настолько слабыми, что взломать их вполне реально, сообщил ИБ-эксперт Трой Хант (Troy Hunt).

Пока БД оставалась незащищенной, к ней получили доступ по крайней мере два исследователя, а возможно, и хакеры. По словам экспертов, в начале января, когда киберпреступники активно сканировали интернет на наличие открытых MongoDB с целью заражения их вымогательским ПО, данные CloudPets перезаписывались дважды.  

В последнее время устройства «Интернета вещей» (IoT) вызывают большое беспокойство у ИБ-экспертов. В частности, на прошлой неделе Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол My Friend Cayla. Как пояснил регулятор, игрушка записывает и отправляет разговоры детей на сервер производителя, который оставил за собой право передавать их третьим сторонам.

Дмитрий Петерсон, директор mobile.SimbirSoft

Несмотря на то, что пароли пользователей во взломанной базе не хранились в открытом виде, а были зашифрованы алгоритмом bcrypt, объем базы в 800 000 не оставляет хакерам шансов уйти без добычи. Дело в том, что довольно большая доля пользователей использует распространённые "словарные" пароли, которые без труда расшифровываются. Помимо этого очевидно то, что много пользователей используют один и тот же пароль для регистрации на многих площадках, что в комбинации с раскрытыми адресами электронной почты предоставляет злоумышленникам дополнительные векторы атаки: пароль может подойти к электронной почте, социальным сетям, банковским аккаунтам и так далее.

Так, как данная база данных была открыта всем желающим, у пользователей не получится избежать раскрытия своих данных. Тем не менее, снизить потенциальный ущерб от подобных атак, а то и вовсе избежать его позволит использование разных (и не очевидных) паролей на разных сервисах, включение двухфакторной аутентификации на аккаунтах электронной почты, электронного банкинга и прочих, а также использование дополнительного адреса электронной почты для регистраций на не особо важных площадках.

Борис Воронцов, Директор Агентства конкурентной разведки Информант

Данный инцидент – лишь одно из первых следствий развития так называемого Интернета вещей. Нисколько не сомневаюсь, что мы еще неоднократно будем свидетелями  подобных и намного более громких утечек, связанных с Интернетом вещей.

Это является следствием перекоса в вопросах внедрения новых технологий и обеспечения их безопасности. Традиционно сложилось, что обеспечение безопасности использования технологий в сфере IT «плетется в хвосте паровоза». Все происходит по схеме: разработка технологии – активное ее внедрение с крайне слабой проработкой вопросов информационной безопасности  - серия взломов/утечек – латание дыр в безопасности.

Какую угрозу могут нести подобные взломы?

В данной ситуации присутствуют классические угрозы:

- риск утечки конфиденциальной информации в виде кражи и дальнейшего противоправного использования персональной информации пользователей данных вещей.

- широкие возможности для шпионажа за их владельцами: запись разговоров; определение текущего местонахождения; в ряде случаев несанкционированное получение фото- и видео- записей.

Какие меры стоит предпринять родителям для безопасного использования подобных устройств?

На мой взгляд, стоит временно отказаться от их использования до устранения дыр в безопасности.

Олег Бойко, специалист по информационной безопасности Департамента информационных технологий города Москвы

Стандарты по обеспечению безопасности в IoT-индустрии еще не сформировались. Каждый производитель сам принимает решение, что и как он будет защищать. Но так как рынок быстрорастущий, то производители ставят во главе угла удобство использования и скорость вывода продукта на рынок, нередко в ущерб безопасности. Что характерно, в истории с мишками злоумышленники взломали не сами игрушки, они получили доступ к базам данных компании, в которых хранилась информация с игрушек. То есть это не уязвимость игрушек (IoT), а банальное разгильдяйство - БД была доступна из интернета без пароля и межсетевого экрана.

Какую угрозу могут нести подобные взломы? Злоумышленники получают доступ к очень личной информации, которую могут использовать для шантажа или травли, перепродажи третьим лицам. Известна история, когда ребенка напугали через «умную» радионяню ( https://geektimes.ru/post/269474/) .

Какие меры стоит предпринять родителям для безопасного использования подобных устройств?  Во-первых, запретить или ограничить им выход в интернет, это уменьшит поток передаваемой в сторону производителя информации. Регулярно отслеживать обновления ПО. При возможности применять настройки безопасности в соответствии с рекомендациями производителя. Внимательно читать лицензионные соглашения, копаться в настройках. Рынок молодой и сырых решений здесь еще  очень много, неопытным пользователям важно понимать, с каким риском им придется мириться, используя «умные» игрушки.