O companie care vinde ursuleţi de pluş ”inteligenţi” a fost victima unor piraţi cibernetici, care au accesat ilegal conturile online ale unui număr de 800.000 de clienţi şi au furat 2 milioane de înregistrări ale acestora, reprezentând mesaje private schimbate de părinţi şi copiii lor. Piraţii cibernetici le-au publicat online, făcându-le să poată fi văzute şi ascultate de orice internaut din lume, apoi le-au blocat şi au cerut o răscumpărare pentru ele, informează motherboard.vice.com.
Începând din prima zi de Crăciun din 2016 şi până la sfârşitul primei săptămâni din ianuarie 2017, compania Spiral Toys a publicat datele personale ale clienţilor brandului său CloudPets într-o bază de date online care nu se afla în spatele unui firewall şi nici nu era protejată printr-o parolă. Acea bază de date - disponibilă pe platforma MongoDB - era uşor de găsit cu ajutorul Shodan, un motor de căutare online care descoperă cu uşurinţă site-urile şi serverele neprotejate, potrivit unor experţi în securitate online, care au găsit şi inspectat acea bază.
Datele expuse includeau peste 800.000 de e-mailuri şi parole , care erau securizate cu puternica - şi deci dificil de accesat ilegal - bcrypt, o funcţie hash de criptare. Din păcate, însă, multe dintre acele parole erau atât de slabe, încât erau uşor de descifrat, spune Troy Hunt, un expert în securitate care asigură mentenanţă online pentru serviciul online Have I Been Pwned şi care a analizat datele brandului CloudPets.
5 noiembrie - Gala Profit - Povești cu Profit... Made in Romania
14 noiembrie - Maratonul Agriculturii
În perioada în care datele personale ale clienţilor au fost expuse, cel puţin doi cercetători în domeniul securităţii online - şi cel mai probabil hackeri - au intrat în posesia lor. La începutul lunii ianuarie, într-o perioadă în care mai mulţi infractori cibernetici scanau cu asiduitate internetul în căutarea unor baze de date neprotejate pe platforma MongoDB, pentru a le copia, a le şterge de pe serverul original şi pentru a cere apoi o răscumpărare, datele CloudPets au fost suprascrise de două ori.
Doi cercetători au avertizat, în mod independent, Motherboard în privinţa acestei breşe de securitate, în ultimele două săptămâni. Cu ajutorul lor, Motherboard a putut să verifice incidentul şi a ajuns la concluzia că breşa era reală.
În ultimii ani, aşa-zisele ”dispozitive inteligente”, care sunt capabile să se conecteze la internet - cunoscute sub denumirea populară ”Internet of Things” (IoT) - sunt adeseori lăsate fără o protecţie online şi pot fi accesate ilegal foarte uşor, permiţând scurgeri de informaţii şi date sensibile.
”Va veni şi vremea când dezvoltatorii de IoT şi producătorii vor învăţa lecţia şi vor produce dispozitive sigure încă de la fabricare, însă acel timp nu a venit încă. Aşadar, dacă sunteţi un părinte care nu vrea ca mesajele voastre iubitoare către copiii voştri să fie interceptate şi publicate pe internet, poate ar fi mai bine să cumpăraţi un ursuleţ de pluş de modă veche, care nu se conectează la un server aflat la distanţă şi nesecurizat”, spune Lorenzo Franceschi-Bicchierai, autorul acestui articol, publicat pe motherboard.vice.com.
Vestea despre accesarea frauduloasă a CloudPets a venit doar la câteva zile după ce Germania şi-a avertizat părinţii în legătură cu faptul că o păpuşă conectată la internet poate să le ”spioneze” copiii şi a ordonat retragerea jucăriei din magazine. Este, de asemenea, cel mai recent episod stânjenitor din domeniul securităţii online pe care îl suferă producătorii de jucării. Cel mai grav dintre acestea s-a produs atunci când VTech, o companie din Hong Kong, a perdut datele personale ale unui număr de 6,3 milioane de copii şi 4,8 milioane de părinţi, inclusiv selfie-uri şi mesaje private ale acestora.
Compania Spiral Toys, al cărei sediu general se află în California, nu a dat publicităţii un punct de vedere pe această temă. Potrivit motherboard.vice.com, compania pare să aibă, de asemenea, probleme financiare.
Baza de date CloudPets a fost atent cercetată în internetul ”underground”, au spus Hunt Gevers şi Victor Gevers - preşedintele Fundaţiei GDI non-profit, care a anunţat problemele de securitate cibernetică victimelor afectate. Victor Gevers spune că baza de date a fost exploatată online la sfârşitul anului trecut şi conţinea date private de la 821.396 utilizatori înregistraţi, 371.970 de înregistrări ale prietenilor acestora (profiluri şi e-mailuri) şi 2.182.337 de mesaje vocale.
Pentru ca situaţia să devină şi mai gravă, datele personale ale clienţilor Spiral Toys au fost accesate ilegal în urmă cu două luni, iar companiua nu a înştiinţat victimele atacului cibernetic şi nici nu a făcut publică acea breşă de securitate.
”Au fost foarte iresponsabili. Au fost foarte iresponsabili pentru că ştiau cu siguranţă despre asta. Am sunat la multe uşi, de atunci”, a spus Gevers pentru Motherboard.
Victor Gevers a descoperit breşa de securitate în luna decembrie şi a încercat să alerteze companie în privinţa riscurilor la care se expune lăsând neprotejate datele personale ale clienţilor. Nu a primit însă niciun răspuns de la CloutPets şi nici de la compania-mamă a acestui brand, Spiral Toys.
În cele din urmă, hackerii au şters întreaga bază de date de pe internet, în cadrul unui atac cibernetic de amploare mondială, comis pe 12 ianuarie asupra bazelor de date online, cu scopul de a obţine o răscumpărare a datelor furate.
Jason Pagel, participant la un workshop susţinut de Troy Hunt săptămâna trecută, care are o fiică în vârstă de şase ani, a aflat despre acea breşă de securitate graţie acestui expert în securitate şi s-a declarat îngrozit de acea scurgere de informaţii pe internet.
”Cea mai mare îngrijorare a mea constă în faptul că cineva ar putea să folosească informaţiile şi să îi trimită mesaje nepotrivite fiicei mele în vârstă de şase ani. Părinţii mei cu siguranţă nu vor mai trimite mesaje nepoatei lor prin intermediul acestei jucării. Şi, deşi mă îndoiesc că vom arunca jucăria la coş, pot vă să spun că am transformat-o într-un fel de animal împăiat comercializat la supra-preţ”, a spus Jason Pagel.
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.