Seorang peneliti keamanan Australia Troy Hunt telah mengidentifikasi kerentanan keamanan tersembunyi yang memungkinkan siapa pun memantau data pribadi termasuk gambar dan merekam suara dari anak-anak yang menggunakan mainan CloudPets.
Tak perlu menyebutkan, jika informasi ke tangan jahat penjahat cyber, itu bisa sangat baik digunakan untuk penggarukan dalam uang tebusan.
Harus dicatat bahwa mainan CloudPets dapat dihubungkan ke aplikasi mobile. Ini memungkinkan orang tua dan anggota keluarga mengirim pesan ke anak-anak, yang kemudian dimainkan oleh boneka mainan seperti boneka beruang. Untuk melakukan ini, Anda harus mendaftar CloudPets dengan membuat account dan memberikan nama anak dan fotonya bersama dengan alamat email. CloudPets mainan diluncurkan pada 2015. Rentang semua-hewan mainan termasuk kelinci, kucing, anjing dan boneka beruang.
Hunt telah menyusun laporan penuh menjadi sempurna pada kerentanan mainan CloudPets dan menyatakan bahwa lebih dari 820.000 akun pengguna telah terkena termasuk 2,2 juta rekaman suara.
"Saya menduga salah satu hal yang akan mengejutkan orang-orang adalah bahwa mereka mungkin tidak memikirkan fakta bahwa ketika Anda menghubungkan boneka beruang, suara anak Anda sedang duduk di server Amazon," kata Hunt.
Menurut temuan, pusat pesan database suara CloudPets 'dan data pengguna terkait disimpan dalam server MongoDB. database dijamin melalui dasar hash saja, yang dilindungi alamat pengguna dan password. Itulah mengapa hal itu bukan tugas yang sulit bagi hacker untuk mengakses pesan suara yang tersimpan yang dicatat pada aplikasi dan mainan sejak database yang sama terhubung ke rekaman.
database telah dihapus dari server MongoDB pada bulan Januari setelah tuntutan tebusan mulai muncul menggunakan rekaman ini. Hunt percaya bahwa perusahaan yang bertanggung jawab untuk pembuatan mainan ini, California berbasis Mainan Spiral , tidak memiliki cukup sumber daya dan keuangan untuk mengatasi peringatan dan keluhan dari pengguna. database tertentu ini juga diindeks oleh Shodan sehingga Anda dapat memeriksa apakah mainan anak-anak Anda 'bocor data atau tidak.
Dalam salah satu serangan tebusan, data telah dihapus oleh penyerang dan catatan tebusan diunggah setelah CloudPets diminta untuk membayar uang tebusan di Bitcoins. Namun, perusahaan mengembalikan data yang hilang menggunakan cadangan. Aspek terburuk adalah bahwa perusahaan tidak memberitahu pengguna tentang kebocoran data yang belum dan password yang sama yang digunakan sampai sekarang. Menurut hukum California, perusahaan perlu untuk memberitahu pengguna tentang pelanggaran data tersebut sehingga, dalam arti bahwa, kita dapat mengerti itu sebagai pelanggaran hukum. Hal ini juga menjadi keprihatinan bagi orang tua sebagai aplikasi Android sudah diunduh lebih dari 100.000 kali.
Javvad Malik , advokat keamanan di AlienVault dan mantan 451 analis senior di 451 ini Praktek Enterprise Security mengomentari masalah ini "Banyak kerentanan dan isu-isu dalam mainan anak-anak adalah bagian dari kerentanan. Dengan itu dalam pikiran, pelanggaran mainan tidak selalu berbeda.
Ini bukan pertama kalinya ketika produsen mainan telah menghadapi pelanggaran data skala besar. Pada 2015, VTech, perusahaan Cina menghadap irincian pelanggaran data orang tua dan anak-anak itu bocor secara online di mana 4,8 juta akun dicuri .
Source: Troy Hunt
0komentar:
Post a Comment