Gaia Bottà

IoT, giocattoli per giochi pericolosi

L'infrastruttura dei pupazzi connessi CloudPets, pensati per la comunicazione tra genitori e figli, è rimasta accessibile per un tempo sufficiente da consentire ai cracker di approfittarne. L'azienda minimizza

Roma - I giocattoli CloudPets, promette il produttore Spiral Toys, offrono la possibilità a figli e genitori di scambiarsi tenerezze a distanza, messaggi affidati ad un pupazzo giocattolo e alla relativa infrastruttura online: le parole intime mediate da un prodotto della Internet delle Cose sono state pubblicamente accessibili online, insieme al database che ospitava 820mila credenziali.


Troy Hunt, il noto ricercatore di sicurezza che gestisce Have I Been Pwned?, ha analizzato delle segnalazioni ricevute a proposito delle falle che affliggevano il sistema online su cui si basa CloudPets, per verificare l'autenticità dei dati relativi agli utenti, conservati in un database MongoDB gestito dall'azienda rumena mReady per conto di Spiral Toys, pubblicamente accessibili e indicizzati dal motore di ricerca per la IoT Shodan.



Si tratta di 820mila coppie di email e password, protette con algoritmo di hashing bcrypt, ma svincolate da qualsiasi regola di sicurezza che le possa rendere efficaci: password di un solo carattere e password abusate, che il ricercatore ha intuito senza troppo esercitare l'immaginazione. Di qui, la possibilità di accedere a parte degli oltre 2,2 milioni di messaggi vocali scambiati attraverso i pupazzi CloudPets.
A ciascun account, ha osservato Hunt, si associano poi i riferimenti alle immagini del profilo e i riferimenti alle registrazioni scambiate fra genitori e figli, conservati sul servizio di storage Amazon S3: analizzando il traffico scambiato dall'app installata sui dispositivi dei familiari con l'infrastruttura cloud su cui si basa il servizio CloudPets, il ricercatore ha rilevato come fossero tutti accessibili senza nemmeno la necessità di intuire la password, semplicemente conoscendo l'URL di riferimento.



Ma non è tutto: i dati liberamente accessibili sono stati effettivamente sfruttati dai cybercriminali, come testimonierebbero le tracce lasciate dalle richieste di riscatto e dalle cancellazioni e successive riscritture dei dati. Spiral Toys, nel periodo a cavallo tra dicembre e gennaio, è stata altresì più volte avvertita del problema dai ricercatori, riferisce Motherboard, ma sembra essersi limitata ad apportare delle misure di sicurezza alla propria infrastruttura, senza comunicare i propri utenti il pericolo. In un periodo in cui i giocattoli connessi come la bambola Cayla, Hello Barbie, i prodotti VTech suscitano sempre maggiori sospetti e sempre maggiore interesse presso i cracker e non solo, Spiral Toys ha scelto di minimizzare: ha dichiarato che nessuna registrazione sarebbe stata trafugata e nessun dato sarebbe stato compromesso, che si sarebbe trattato di una questione "di poco conto".

Gaia Bottà
Notizie collegate
  • AttualitàGermania, stop alla bambola-spiaL'authority mette al bando Cayla, la smart doll che intercetta le conversazioni dei bambini inviandole a un server remoto. Rischi per la sicurezza e la privacy
  • SicurezzaGiocattoli intelligenti e stupide vulnerabilitàI ricercatori identificano vulnerabilità di sicurezza nei giocattoli interconnessi potenzialmente pericolose per la privacy dei bambini, un problema destinato a far sentire i propri effetti anche in futuro
  • SicurezzaHello Barbie minaccia la privacy delle bambineLa discussa Barbie hi-tech è arrivata sugli scaffali dei negozi, e i ricercatori subito lanciano l'allarme: la bambola è pericolosa. Esagerazioni, risponde ToyTalk, produttore della tecnologia che le anima
  • SicurezzaBreccia VTech, il primo arrestoLe forze dell'ordine britanniche hanno fermato un sospetto nel contesto delle indagini sul cyberattacco al produttore di giocattoli. L'hacker che ha rivendicato l'azione sosteneva di aver agito per mettere alla prova le misure di sicurezza dell'azienda
7 Commenti alla Notizia IoT, giocattoli per giochi pericolosi
Ordina