En weer een giga beveiligingsprobleem met speelgoed: Knuffels lekken gesprekken ouders met kinderen

CloudPets

Dat connected speelgoed niet altijd even veilig is, mag inmiddels duidelijk zijn. Problemen met bijvoorbeeld de slimme pop Cayla en Hello Barbie zijn breed uitgemeten in de media. Maar om mensen echt goed bewust te maken van de risico’s is er weer een e nieuw beveiligingsprobleem en meteen een flink probleem ook. Het gaat dit keer om de zogeheten CloudPets.

Een CloudPlet is een knuffel waar je als kind mee kunt praten. Ouders kunnen zo’n diertje bedienen met een app en op afstand teksten inspreken die de kinderen horen via de knuffel. Vervolgens kunnen kinderen weer terugpraten.

Al deze gesprekken werden opgeslagen in de cloud, maar werden niet goed beveiligd. Of zoals beveiligingsonderzoeker Troy Hunt het verwoord: alle accountgegeven staan opgeslagen in “een publiek systeem die geen enkel vorm van authenticatie vereist”. De deur stond dus wagenwijd open.

In onderstaande video wordt haarfijn uitgelegd hoe de CloudPlets werken en kun je je direct voorstellen hoe groot het probleem is als de audio-opnames in de cloud niet goed worden beveiligd.

Troy Hunt kreeg vorige week een deel van de gebruikersdatabase van CloudPlets opgestuurd. Hij verifieerde of de data echt was en dook dieper in de materie. Het bleek dat er ruim 821.000 gebruikers waren die getroffen zijn en er meer dan 2 miljoen geluidsopnames toegankelijk waren. Ook de foto’s, e-mailadressen en versleutelde van deze gebruikers waren toegankelijk. Een deel van deze wachtwoorden bleek extreem simpel te zijn (denk aan ‘123456’).

Het bleek verder dat de maker van het speelgoed al was gewaarschuwd voor het probleem, maar niet reageerde. Ook heeft Hunt bewijs gevonden dat er data is gestolen door criminelen die de maker van CloudPets hebben afgeperst. De fabrikant heeft echter aan de mensen die zo’n connected knuffel in hun bezit hebben nooit gemeld dat er dergelijke problemen waren.

Uiteindelijk heeft de maker van CloudPets, Spiral Toys, de beveiliging verbeterd en heeft het bedrijf een reactie gegeven, waarin het bedrijf aangeeft pas vorige week achter het probleem te zijn gekomen nadat een journalist van Vice hen benaderde. “We hebben er naar gekeken en het was een zeer klein probleem”, zegt CEO Mark Myers tegen Network World. Het bedrijf ontkent dat er geluidsopnamen zijn gestolen.