El osito de peluche inteligente que ha filtrado 2 millones de grabaciones de padres e hijos

El osito de peluche inteligente que ha filtrado 2 millones de grabaciones de padres e hijos

La idea de CloudPets era interesante, un osito de peluche inteligente que grababa y reproducía mensajes. Pero fue hackeado, y esas grabaciones son públicas.

Un osito de peluche inteligente ha filtrado los mensajes de voz de millones de padres e hijos.

Hemos hablado mucho del Internet de las Cosas, y de cómo si no se hace bien, puede suponer un peligro; el problema casi siempre es el mismo, los dispositivos tienen agujeros de seguridad que no son cerrados nunca.

Agujeros que los hackers pueden aprovechar para conseguir información personal, o incluso para convertir los dispositivos en “zombis” a sus órdenes para hacer ataques DDOS.

Un osito de peluche inteligente, pero no seguro

No hablamos sólo de termostatos o cámaras;  cada vez hay más juguetes que se conectan a Internet y que son vulnerables.

800.000 propietarios de CloudPets lo han descubierto por las malas; un osito de peluche inteligente que prometía un “mensaje que puedes abrazar”.

Es una idea simple pero muy curiosa. El peluche puede conectarse a Internet para mandar y recibir mensajes de voz, que reproduce con el altavoz incorporado; los padres pueden mandar mensajes desde la app para iOS y Android, y de esta manera el niño no se sentirá tan solo.

Todo suena muy bonito, hasta que se descubre que Spiral Toys, la empresa detrás de los CloudPets, no tiene ni idea de seguridad: dejaron la base de datos con los correos y contraseñas de los 800.000 usuarios sin proteger.

En efecto, la base de datos MongoDB estaba en el servidor de la empresa, y era posible acceder a ella sin ningún tipo de contraseña ni cortafuegos; ni siquiera hace falta ser hacker para conseguir datos de esta manera, basta con usar un buscador.

En este caso, el motor de búsqueda usado fue Shodan, especializado en encontrar páginas y bases de datos sin proteger; es algo así como el Google de los que buscan datos privados.

Base de datos y mensajes grabados al aire libre

Lo único positivo de todo es que las contraseñas estaban cifradas con la función bcrypt, que es más difícil de crackear que otras; pero eso no sirve de mucho si las contraseñas son fáciles de adivinar.

En otras palabras, durante el registro de usuarios la app de Spiral Toys aceptaba contraseñas demasiado cortas, sencillas y fáciles de adivinar, como “123456” o “qwe”.

No solo eso, sino que también se descubrió que dos millones de grabaciones de padres y niños estaban guardadas en Amazon S3 sin contraseña.

Se sabe que, durante el tiempo en el que la base de datos estuvo expuesta, al menos dos expertos de seguridad la encontraron, y un número desconocido de atacantes.

Según los expertos, la base de datos de Spiral Toys fue sobreescrita en dos ocasiones mientras la investigaban; probablemente porque los atacantes la copiaron y la borraron para secuestrarla a cambio de una suma. Finalmente, el 12 de enero la base de datos fue borrada completamente. Ni CloudPets ni Spiral Toys han realizado ninguna declaración.

  • Vill Gueitz

    Bastante delicadillo el asunto.