Cloudpets Teddys gesprächig: 2,2 Millionen Sprachnachrichten von Kindern und Eltern abgreifbar

28. Februar 2017 Kategorie: Android, Internet, iOS, geschrieben von: Sascha Ostermaier

Ihr erinnert Euch sicher an die Meldung letztens, dass die Bundesnetzagentur die sprechende Puppe Cayla aus dem Verkehr gezogen hat. Grund war die schlechte Absicherung sowie die mögliche, heimliche Aufnahme von Kindern, also ein Einbruch in deren Privatsphäre. Nun gibt es einen solchen Fall, in dem ein Kinderspielzeug dafür sorgt, dass private Nachrichten von Dritten eingesehen werden können. Und die Betreiber werden sogar erpresst. Cloudpets heißt der betroffene Dienst, der Eltern und Kinder via Spielzeug verbindet. Schuld ist nicht nur eine schlecht abgesicherte Datenbank, sondern auch schwache Passwörter, wie Troy Hunt herausfand.

Um zu verstehen, welche Daten über die Datenbank abrufbar waren, muss man wissen wie das Spielzeug der Cloudpets funktioniert. Eltern können Sprachnachrichten aufnehmen und diese an einen Teddy schicken, von dem sie dem Kind dann mitgeteilt werden. Kinder können mit dem Teddy ebenfalls Sprachnachrichten aufnehmen, die dann in der App der Eltern landen. Also alles so wie man es sich vorstellen würde.

App und Teddy müssen natürlich auf eine Datenbank zugreifen, in der die Nachrichten gespeichert sind. Diese war öffentlich zugänglich – muss sie ja, App und Teddy müssen ja auch zugreifen können – aber eben schlecht abgesichert. Heißt, man kann die Datenbank einsehen und ohne Authentifizierung auf sie zugreifen. Immerhin sind die Passwörter bcrypt hashed, allerdings gibt es keinerlei Passwortanforderungen, sodass eben auch die typischen „123456“ und „password“ zu finden sind.

Insgesamt geht es um knapp 2,2 Millionen Sprachnachrichten von mehr als 800.000 Nutzern, die so für Dritte zugänglich sind. Nun möchte man meinen, Cloudpets würde schnell reagieren, wenn sie darauf aufmerksam gemacht werden, tun sie aber nicht. Viermal wurde versucht, das Unternehmen zu kontaktieren, eine Reaktion gab es nicht.

In der Datenbank selbst sind keine Sprachnachrichten gespeichert, aber Referenzen auf diese. Die Audio-Files liegen, wie Profilbilder auch, auf anderen Servern, sind per Direktlink jederzeit aufrufbar. Diese Direktlinks kann man aus der Datenbank erhalten.

Mittlerweile ist keine Datenbank mehr erreichbar, der Grund hierfür dürfte aber mehr in einer Erpressung als in einer Einsicht des Herstellers Spiral Toys liegen. Die Datenbanken wurden nämlich gesichert und es wurde ein Lösegeld gefordert. Dass Spiral Toys noch groß reagieren wird, ist eigentlich eh unwahrscheinlich, so wie es aktuell aussieht, steht das Unternehmen kurz vor der Pleite.

Die technischen Details zu diesem Fall findet Ihr bei Troy Hunt direkt, wieder einmal ein super Beispiel dafür, dass nicht alles vernetzt werden muss, was vernetzt werden kann. Privatsphäre ist ein hohes Gut und gerade wenn Betroffene etwaige Gefahren noch nicht selbst einschätzen können, müssen die Erwachsenen – in diesem Fall Eltern und Hersteller – für eine entsprechende Absicherung sorgen, was hier ganz klar nicht der Fall war.

Es ist ja nicht so, dass Cloudpets der erste derartige Fall ist. Auch VTech-Nutzer wurden bereits Opfer eines Datendiebstahls. Gerade als Eltern sollte man immer gut abwägen, ob das Kind ein bestimmtes vernetztes Spielzeug wirklich benötigt und wie es mit der Sicherheit des Ganzen aussieht. Das klappt natürlich nicht immer, die wenigsten interessieren sich überhaupt dafür, was bei solchem Spielzeug im Hintergrund so vor sich geht.


Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9288 Artikel geschrieben.