Tech

821 ezer háztartást sodortak veszélybe a plüssállatok

Nem kell elmenni egy új Black Mirror-epizódig, ha azt akarjuk látni, hogy mi veszélyezteti gyermekeink életét a jövőben. Elég hozzá egy internetre kötött játékmedve és egy felelőtlen cégvezetés.

Egyszerű, de hatásos ötleten alapszik az amerikai Spiral Toys által gyártott CloudPets: adott egy mikrofonnal és egy hangszóróval felszerelt plüssállat, amin keresztül békésen kommunikálhat egymással egy gyermek és egy tőle távol lévő szülő. A hangüzenetek családi moderáció alá is kerülnek: ezek ugyanis első körben egy második, a gyermek mellett lévő szülő (vagy hozzátartozó) telefonjára érkeznek, ha ő rábólint az üzenetre, az továbbításra kerül – tehát mindig van egy pontja a történetnek, ami garantálja azt, hogy tényleg csak a megfelelő üzenetek jutnak el a gyermekhez.

Problémát inkább az jelent, hogy a plüssállatokkal rögzített, illetve az azok által lejátszott üzeneteket a Spiral Toys egy felhőben lebegő adatbázisban tárolja. És ha ezek a hangfileok és a hozzájuk kapcsolódó adatok valahol tárolva vannak, akkor ezeket meg is lehet szerezni. A CloudPets esetében ráadásul ehhez még nem is kellett nagyon sokat dolgozni, ugyanis a cég adatait egy publikus, teljesen védtelen MongoDB adatbázisban tárolta. És mivel ez publikus volt, a Shodan nevű weboldal (ez gyakorlatilag az internetre kapcsolt dolgok keresőoldala) automatikusan indexelte is az ebben lévő adatokat. Innentől kezdve már egyértelmű volt, hogy az adatbázist nem csak megtalálni fogják, hanem le is fogják menteni (innentől kezdve pedig az adatok kinyerhetőek, az adatbázis feketepiacon eladható, zsarolásra felhasználható, stb.) – a hírek szerint több mint 821 ezer felhasználó adatairól és 2.1 milliónál több hangüzenetről van szó. Mindezek mellett pedig a játékokat használó gyermekek nevei, születésnapja, családi kapcsolatai, fényképei és megtalálhatóak az adatbázisban, amelyből – amúgy, némi extra munkával – fizikai hollétüket is ki lehet deríteni – erre részletesen rá is világít olvasmányos és igen hosszú anyagában Troy Hunt biztonságtechnikai szakértő.

Ha ez önmagában nem lenne elég aggasztó – írja Hunt -, a Vice Media újságírója, Lorenzo Bicchierai, aki őt megkereste a témában, már korábban jelezte a leak előtt a Spiral Toysnak, hogy adataikat korántsem a biztonsági előírásoknak (sőt, semmilyen biztonsági előírásnak) megfelelően tárolják, választ azonban egyáltalán nem kapott. Troy Hunt további három megkeresésére szintén nem érkezett semmilyen válasz. Mindezek mellett még egy óriási biztonságtechnikai hibának számít az is, hogy a CloudPets-felhasználók bármilyen jelszót használhattak (ugyanis a szülők által használt apphoz szükség volt egyre). A biztonság érdekében érdemes hosszabb, alsó hangon is 6-8 karakteres jelszót megadni, amelyben kombinálunk kis- és nagybetűket, számokat és sokszor még alfanumerikus karaktereket is – a CloudPets esetében azonban semmi ilyesmiről nem volt szó, az app akár még egy szimpla “a” betűt is elfogadott, egy ilyen jelszó feltöréséhez pedig még egy tizedmásodperc is rengeteg időnek számít (Hunt átvizsgálta a jelszavak egy részét: elmondása szerint meglepően sok “123456”, “qwerty” vagy “cloudpets” jelszóval találkozott.)

A történet pedig még itt sem ér véget – január elején már ransomwarekkel is leterhelték az adatbázist (azaz letitkosították, törölték és csak egy adott bitcoinmennyiség átutalása után engedték volna vissza eredeti tulajdonosainak), ráadásul szimultán többen is. A Spiral Toys természetesen tagad, Troy Hunt azonban folyamatosan frissíti cikkét és kíméletlen szakszerűséggel demonstrálja azt, hogy milyen az, amikor egy cég 1, nem ért a biztonságtechnikához 2, nem ért a krízismenedzsmenthez és 3, ahhoz sem, hogy beismerje azt, hogy hibázott (és ráadásul mekkorát!).

A netre kapcsolt játékok természetesen nem a CloudPetsnél kezdődnek (gondoljunk csak az elmúlt évek problémáira: a VTech-adatvesztésre, a Hello Barbie, az i-Que vagy a My Friend Cayla termékekkel kapcsolatos problémákra) és nem is itt fognak sanyarú halált halni. az IoT térnyerésével inkább az a kérdés, hogy a játékgyártó cégek mikor jutnak el arra a pontra, hogy a lehető legbiztosabb technikai védelmet, illetve kríziskezelést tudják nyújtani ügyfeleiknek. Ami ugyanis, érdemes lenne már 2017-ben megtanulni, az internetre kapcsolódik, az megtörhető. A gyermekekre targetált eszközök esetében pedig a legfrissebb IoT-biztonsági alapelvek mentén kellene eljárni – a Spiral Toys példája pedig bizonyítja, hogy sok esetben még ez sem elég.

Ajánlott videó

Olvasói sztorik