聪明的泰迪熊涉及有争议的数据泄露

如果您拥有来自CloudPets的填充动物，那么您最好将密码更改为产品。玩具 - 可以接收和发送来自儿童和父母的语音消息 - 已经参与了涉及超过800,000名用户帐户的数据漏洞。

周一抓住了头条新闻的违规行为正在提高安全研究人员的担忧，因为它可能会让黑客访问玩具客户的录音。但公司背后的公司螺旋玩具，否认任何客户被黑客攻击。

“是被盗的录音吗？绝对不是，“公司首席执行官Mark Meyers说。

追踪数据泄露的安全研究员特洛伊亨特将事件带入星期一。黑客似乎已经访问了一个公开的CloudPets“数据库，其中包含了电子邮件地址和哈希密码，他们甚至试图在1月份赎金，他在博客帖子中说。

他补充说，该事件强调了连接设备的危险，包括玩具，以及如何暴露通过它们的数据如何暴露。

在CloudPets的情况下，据称，该品牌据称在公开公开的在线MongoDB数据库中存储客户信息，无需进行身份验证。允许任何包括黑客，包括黑客的人查看和窃取数据。

在加方面，用Bcrypt算法散列暴露在漏洞中的密码，使它们难以破解。不幸的是，CloudPets没有对密码强度的要求，这意味着亨特凭据据狩猎，甚至是字母“A”的单一角色也是可以接受的，这是上周被盗数据的副本。

因此，通过仅对QWERTY，123456和Cloudpets等共同术语来检查它们，Hunt能够解密大量密码。

“任何有数据的人都可以破解大量密码，登录帐户并下拉语音录制，”亨特在他的博客文章中说。

从GDI基金会的安全研究员Victor Gevers表示，他还发现了来自CloudPets的公开数据库，并试图在12月底与玩具制造商联系。

然而，GEVERS和HUNT都表示，该公司从未回应过重复的警告。

周一，加利福尼亚州为基于Cloudpets品牌的螺旋玩具，声称公司从未收到警告。

“说，说在互联网上泄露200万条消息的头条新闻完全是假的，”迈耶斯说。

在副媒体从上周联系他们后，他的公司只有意识到这个问题。“我们看着它，并认为这是一个非常微不足道的问题，”他说。

他说，只有一个恶意演员才能访问客户的语音录制，仅当他们设法猜测密码时，他说。

“我们必须找到平衡，”迈耶斯说，当他解决玩具制造商缺乏密码强度要求时。“多少是太多了？”

他还说，螺旋玩具将其服务器管理外包给第三方供应商。1月份，该公司实施了MongoDB所要求的更改，要求增加服务器的安全性。

螺旋玩具并未成为唯一有针对性的公司。最近几个月，几个黑客团体一直在攻击数千个公开暴露的MongoDB数据库。他们通过擦除数据来完成，然后说他们可以恢复它，但只有受害者签订赎金费。

在CloudPets事件中，不同的黑客似乎已经删除了原始数据库，但亨特表示，对暴露的系统留下了赎金说明。

虽然CloudPets的数据库不再可公开访问，但亨特说，玩具制造商似乎没有通知客户的漏洞。危险是，黑客可能正在使用被盗信息闯入在玩具中注册的客户帐户。

但是Meyers表示，该公司没有发现任何黑客闯入客户账户的证据。为了保护其用户，该公司正计划为所有用户重置密码。“也许我们的解决方案是放置更复杂的密码，”他说。