Cloudpets Teddys gesprächig: 2,2 Millionen Sprachnachrichten von Kindern und Eltern abgreifbar
Ihr erinnert Euch sicher an die Meldung letztens, dass die Bundesnetzagentur die sprechende Puppe Cayla aus dem Verkehr gezogen hat. Grund war die schlechte Absicherung sowie die mögliche, heimliche Aufnahme von Kindern, also ein Einbruch in deren Privatsphäre. Nun gibt es einen solchen Fall, in dem ein Kinderspielzeug dafür sorgt, dass private Nachrichten von Dritten eingesehen werden können. Und die Betreiber werden sogar erpresst. Cloudpets heißt der betroffene Dienst, der Eltern und Kinder via Spielzeug verbindet. Schuld ist nicht nur eine schlecht abgesicherte Datenbank, sondern auch schwache Passwörter, wie Troy Hunt herausfand.
Um zu verstehen, welche Daten über die Datenbank abrufbar waren, muss man wissen wie das Spielzeug der Cloudpets funktioniert. Eltern können Sprachnachrichten aufnehmen und diese an einen Teddy schicken, von dem sie dem Kind dann mitgeteilt werden. Kinder können mit dem Teddy ebenfalls Sprachnachrichten aufnehmen, die dann in der App der Eltern landen. Also alles so wie man es sich vorstellen würde.
https://youtu.be/EcxNHgYUz6s
App und Teddy müssen natürlich auf eine Datenbank zugreifen, in der die Nachrichten gespeichert sind. Diese war öffentlich zugänglich – muss sie ja, App und Teddy müssen ja auch zugreifen können – aber eben schlecht abgesichert. Heißt, man kann die Datenbank einsehen und ohne Authentifizierung auf sie zugreifen. Immerhin sind die Passwörter bcrypt hashed, allerdings gibt es keinerlei Passwortanforderungen, sodass eben auch die typischen „123456“ und „password“ zu finden sind.
Insgesamt geht es um knapp 2,2 Millionen Sprachnachrichten von mehr als 800.000 Nutzern, die so für Dritte zugänglich sind. Nun möchte man meinen, Cloudpets würde schnell reagieren, wenn sie darauf aufmerksam gemacht werden, tun sie aber nicht. Viermal wurde versucht, das Unternehmen zu kontaktieren, eine Reaktion gab es nicht.
In der Datenbank selbst sind keine Sprachnachrichten gespeichert, aber Referenzen auf diese. Die Audio-Files liegen, wie Profilbilder auch, auf anderen Servern, sind per Direktlink jederzeit aufrufbar. Diese Direktlinks kann man aus der Datenbank erhalten.
Mittlerweile ist keine Datenbank mehr erreichbar, der Grund hierfür dürfte aber mehr in einer Erpressung als in einer Einsicht des Herstellers Spiral Toys liegen. Die Datenbanken wurden nämlich gesichert und es wurde ein Lösegeld gefordert. Dass Spiral Toys noch groß reagieren wird, ist eigentlich eh unwahrscheinlich, so wie es aktuell aussieht, steht das Unternehmen kurz vor der Pleite.
Die technischen Details zu diesem Fall findet Ihr bei Troy Hunt direkt, wieder einmal ein super Beispiel dafür, dass nicht alles vernetzt werden muss, was vernetzt werden kann. Privatsphäre ist ein hohes Gut und gerade wenn Betroffene etwaige Gefahren noch nicht selbst einschätzen können, müssen die Erwachsenen – in diesem Fall Eltern und Hersteller – für eine entsprechende Absicherung sorgen, was hier ganz klar nicht der Fall war.
Es ist ja nicht so, dass Cloudpets der erste derartige Fall ist. Auch VTech-Nutzer wurden bereits Opfer eines Datendiebstahls. Gerade als Eltern sollte man immer gut abwägen, ob das Kind ein bestimmtes vernetztes Spielzeug wirklich benötigt und wie es mit der Sicherheit des Ganzen aussieht. Das klappt natürlich nicht immer, die wenigsten interessieren sich überhaupt dafür, was bei solchem Spielzeug im Hintergrund so vor sich geht.
ist da ein typo? Spiral Boys
Mir tuen die Kinder leid, die Eltern haben, die so etwas kaufen und nutzen.
Darum kauft man nicht so ein Sch***. Ich bin auch mit ganz normalen Spielzeug aufgewachsen. Und bin auch froh darüber.
@Mr.C
vollkommen richtig, die Welt verblödet immer mehr…..
Und manche „Erwachsenen“ stellen sich so ein Lauschgerät-Spielzeug in Form eines schwarzen Zylinders namens „Echo“ ins Wohnzimmer und sprechen es mit „Alexa“ an.
Aber das ist natürlich gaaaanz was anderes. 😉
Abgesehen davon erschließt sich mir der Sinn des Spielzeugs nicht…
Verstehe ich nicht? Als hätten die Kinder etwas zu verbergen… ihr Aluhutträger!!
Aber im Ernst, die Eltern haben sicher schon alle Infos ihrer Kinder auf fb veröffentlicht. Son alter StasiChef wäre hart gekommen, hätte er von unseren heutigen Zuständen gewusst.