Zu einer Datenpanne kam es beim Spielzeughersteller Spiral Toys: Offenbar stand eine Kundendatenbank zu vernetzten Kuscheltieren zeitweise ungeschützt im Netz. Entsprechende Hinweise ignorierte der Hersteller. So waren an die zwei Millionen Sprachnachrichten, die über CloudPets abgespielt worden sind, frei im Internet zugänglich, laut Bericht von Motherboard.
Sorgte erst kürzlich „My friend Cayla“ für negative Schlagzeilen, lassen neue Nachrichten mit ähnlichen Inhalten nicht lange auf sich warten. Nur knapp zwei Wochen nachdem die smarte Puppe Cayla in Deutschland von der Bundesnetzagentur verboten worden ist, bereitet ein weiteres smartes Spielzeug nun erneuten Ärger.
Das Motto des US-Herstellers Spiral Toys für seine CloudPets lautet: „A Message You Can Hug“: Der
Spielzeughersteller Spiral Toys bietet mit CloudPets vernetzte Kuscheltiere an, über die Kinder mit Familienangehörigen oder Freunden Nachrichten austauschen können, die über eine App geschickt werden. Die Botschaften werden direkt in das im Stofftier integrierte Mikrofon gesprochen. Nachdem die Eltern, Verwandte oder Freunde die Nachricht autorisiert haben, leuchtet das Herz der Tiere rot. Drückt das Kind nun deren Pfoten, wird die Sprachaufnahme abgespielt. Der Teddybär sagt dann etwa in der Stimme der Mama „Ich hab` dich lieb“ oder „Schlaf gut, mein Schatz“. Das Spielzeug verfügt über eine Internetverbindung, wobei die Nachrichten per Bluetooth von einem Smartphone oder Tablet an das Spielzeug weitergeleitet werden. Die entsprechenden Sounddateien werden dann auf einem Webserver abgelegt. Auf einem anderen Server, der öffentlich zugänglich war, haben offenbar die Kundendaten des Herstellers gelegen.
Es wurde nun bekannt, dass zwei Millionen Sprachnachrichten, die zwischen Kindern und Eltern ausgetauscht wurden, aus dem kalifornischen Spielzeug offen im Internet verfügbar gewesen sind, mindestens in der Zeit von Weihnachten 2016 bis in die erste Januarwoche 2017. Jeder konnte die Nachrichten herunterladen und anhören. Zusätzlich zu den Sprachnachrichten waren ebenso ca. 820.000 Datensätze im Netz abrufbar, die weit über bloße Sprachnachrichten hinausgingen, nämlich Account-Daten mit verschlüsselten Passwortangaben sowie Benutzernamen, E-Mail-Adressen, Profilbilder der Kunden, die Namen ihrer Kinder und die Verwandtschaftsverhältnisse.
Sicherheitsforscher Troy Hunt berichtet darüber in einem Blogbeitrag. Er hatte einen Hinweis auf die offene Datenbank bekommen. Demnach sei die Datenbank von der Internet-of-Things-Suchmaschine Shodan indiziert worden und somit praktisch für jedermann auffindbar gewesen. Laut Hunt wurden diese Daten zwischen dem 25. Dezember und 8. Januar auch mehrfach von Unbekannten abgerufen. Sie wurden von Hackern dann dafür eingesetzt, Betroffene zu erpressen. Cyberkriminelle sollen zudem die komplette Datenbank Anfang Januar verschlüsselt haben und anschließend hätten sie Lösegeld von den Betreibern gefordert.
Laut dem Bericht von Motherboard hat Spiral Toys keine Richtlinien über besonders geschützte Passwörter für ihre User verordnet, damit sind auch Passwörter wie „pet“ oder „1234“ möglich gewesen. Laut Troy Hunt war es durch diesen Sicherheitsmangel möglich, die Passwörter ganz einfach zu erraten.
Nach dem Sicherheitsforscher wurde der Hersteller mindestens vier Mal erfolglos auf die Schwachstelle aufmerksam gemacht. Deshalb liegt der Verdacht nahe, dass die Sache vertuscht werden sollte. Zudem hielt der Spielwarenhersteller es auch nicht für nötig, die Eltern, die diese Teddybären kauften, über die gravierende Sicherheitslücke zu benachrichtigen.
Bildquelle: cherylholt, thx! (CC0 Public Domain)
https://tarnkappe.info/cloudpets-teddybaeren-mit-sicherheitsrisiko/Quelle
Autor: Antonia
Quelle