I giocattoli CloudPets, promette il produttore Spiral Toys, offrono la possibilità a figli e genitori di scambiarsi tenerezze a distanza, messaggi affidati ad un pupazzo giocattolo e alla relativa infrastruttura online: le parole intime mediate da un prodotto della Internet delle Cose sono state pubblicamente accessibili online, insieme al database che ospitava 820mila credenziali.
Troy Hunt, il noto ricercatore di sicurezza che gestisce Have I Been Pwned? , ha analizzato delle segnalazioni ricevute a proposito delle falle che affliggevano il sistema online su cui si basa CloudPets, per verificare l’autenticità dei dati relativi agli utenti, conservati in un database MongoDB gestito dall’azienda rumena mReady per conto di Spiral Toys, pubblicamente accessibili e indicizzati dal motore di ricerca per la IoT Shodan.
Here it is:
– Toy captured kids voices
– Data exposed via MongoDB
– 2.2m recordings
– DB ransom'd
– And much more… https://t.co/HvePnZleXR— Troy Hunt (@troyhunt) 27 febbraio 2017
Si tratta di 820mila coppie di email e password , protette con algoritmo di hashing bcrypt, ma svincolate da qualsiasi regola di sicurezza che le possa rendere efficaci: password di un solo carattere e password abusate , che il ricercatore ha intuito senza troppo esercitare l’immaginazione. Di qui, la possibilità di accedere a parte degli oltre 2,2 milioni di messaggi vocali scambiati attraverso i pupazzi CloudPets.
A ciascun account, ha osservato Hunt, si associano poi i riferimenti alle immagini del profilo e i riferimenti alle registrazioni scambiate fra genitori e figli, conservati sul servizio di storage Amazon S3: analizzando il traffico scambiato dall’app installata sui dispositivi dei familiari con l’infrastruttura cloud su cui si basa il servizio CloudPets, il ricercatore ha rilevato come fossero tutti accessibili senza nemmeno la necessità di intuire la password, semplicemente conoscendo l’URL di riferimento .
This tweet was made 4 weeks ago, after the CloudPets data was exposed. Did creeps use it to send messages to other people's kids?! https://t.co/OxIYjfw7HO
— Troy Hunt (@troyhunt) 27 febbraio 2017
Ma non è tutto: i dati liberamente accessibili sono stati effettivamente sfruttati dai cybercriminali, come testimonierebbero le tracce lasciate dalle richieste di riscatto e dalle cancellazioni e successive riscritture dei dati. Spiral Toys, nel periodo a cavallo tra dicembre e gennaio, è stata altresì più volte avvertita del problema dai ricercatori, riferisce Motherboard , ma sembra essersi limitata ad apportare delle misure di sicurezza alla propria infrastruttura, senza comunicare i propri utenti il pericolo. In un periodo in cui i giocattoli connessi come la bambola Cayla , Hello Barbie , i prodotti VTech suscitano sempre maggiori sospetti e sempre maggiore interesse presso i cracker e non solo , Spiral Toys ha scelto di minimizzare : ha dichiarato che nessuna registrazione sarebbe stata trafugata e nessun dato sarebbe stato compromesso, che si sarebbe trattato di una questione “di poco conto”.
Gaia Bottà