智能玩具泰迪熊泄漏数百万个语音消息和密码

每个家长在给孩子购买互联网玩具或智能玩具之前都应该三思而后行,因为这些智能玩具带来了另一种危险:使用它们的孩子的隐私和数据安全风险有可能泄露。

还记得发生在一年前,当时香港玩具工程师toymaker VTech被黑客攻击,暴露了世界各地约640万儿童的个人资料,包括父母,儿童和聊天记录。

现在,某连接互联网的玩具和智能玩具泄露了超过200万儿童和他们的父母的录音,以及超过82万用户帐户,电子邮件地址和密码。

加利福尼亚州的智能动物玩具CloudPets,允许儿童和父母发送没有加密的语音邮件,这使黑客有机会记录父母和孩子之间的语音消息和其他个人数据。

根据Troy Hunt周一发布的博客称,该公司的客户数据在2016年12月25日至1月8日期间没有受任何密码加密或防火墙保护。

Hunt说,许多第三方访问并窃取了暴露的数据,黑客访问和窃取客户电子邮件并获得CloudPets数据库中的哈希密码。

CloudPets-database

事实上,在1月初,当网络犯罪分子正在主动扫描互联网暴露或配置不当的MongoDB数据库删除其数据并勒索赎金时,CloudPets的数据库被覆盖了两次。

该玩具制造商被四次通知其客户数据暴露在互联网,可供任何人下载使用,但是该公司被通知后,它并没有处理其客户智能玩具暴露的数据和通知客户。

有趣的是,CloudPets博客自2015年以来没有更新过,并且没有任何关于安全问题的公告。

Spiral Toys使用开放的亚马逊托管服务,录音不在开放的MongoDB数据库中,不需要授权就可以存储录音,用户个人资料图片,儿童姓名,以及他们与父母,亲戚和朋友的关系。这意味着任何有恶意的人都可以通过猜测正确的URL来听录音。

这里列举一下已经泄露过人信息的儿童智能玩具

  • Innocent toys
  • CloudPets的智能玩具熊
  • Fisher-Price 智能玩具
  • My Friend Cayla Doll
  • i-Que智能机器人
  • VTech
  • Hello Barbie

这件事件也许是要你记住,下一次你购买智能玩具的时候你要注意它是否安全。

如果你发现你的CloudPets帐户受到影响,应立即更改CloudPets和使用与CloudPets帐户相同密码的任何其他在线帐户的密码,并断开玩具的联网。

*来源:thehackernews,MottoIN整理发布

原创文章,作者:SecNews,如若转载,请注明出处:http://www.mottoin.com/news/97369.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code