Plyšové medvedíky ohrozili dáta státisícov užívateľov

Americký výrobca hračiek čelí tvrdej kritike pre odfláknuté zabezpečenie svojich na internet pripojiteľných plyšových zvieratiek a databáz.

Internet vecí sa stáva čoraz väčšou témou. Pribúdajú totiž prípady zneužitia smart zariadení. Najnovšie sa k nim pridali plyšové hračky americkej spoločnosti Spiral Toys. Tie dokážu nielen nahrávať a prehrávať krátke zvukové odkazy, ale ich aj posielať.

Malo to fungovať asi tak, že otec dieťaťa pomocou svojho mobilného telefónu a aplikácie nahral odkaz, ten potom poslal (cez Internet) do telefónu spárovaného s hračkou, tam ho mama potvrdila, že je v poriadku a plyšová hračka ho potom prehrala. Záznam potom ostal v profile používateľa a dal sa kedykoľvek znova prehrať. Znie to ako relatívne dobrý nápad a nutnosť správu najprv potvrdiť by ukazovala na to, že firma si uvedomuje riziká a snaží sa ich eliminovať. Ukázalo sa však, že opak bol pravdou.

Spoločnosť používala nezabezpečený nezaheslovaný databázový server, ktorý bol prístupný z internetu (pravdepodobne pre chybu v konfigurácii). Práve tieto databázy slúžili ako úložisko dát pre používateľov. Obsahovali nielen ich emailové adresy a heslá viac ako 800-tisíc používateľov, ale aj odkazy na obsah (v tomto prípade profilový obrázok a zvukové záznamy). Tie boli hostované na Amazon S3 cloude. Lenže pomocou informácii z databázy sa dala odhadnúť ich presná adresa, na ktorej ich bolo možné získať, keďže na Amazone už šifrované neboli.

Nestačilo, že heslá k jednotlivým používateľským účtom boli zakryptované, pretože bolo jednoduché získať ich. Opäť za to môže laxnosť výrobcu, ktorý nestanovil žiadne podmienky, ako má heslo vyzerať. Na jeho vytvorenie tak stačilo aj jediné písmeno, napríklad „a“. Dokonca aj videonávod uvádzal ako príklad hesla len tri písmená „qwe“.

Ako sa neskôr ukázalo, ani operačný systém samotnej hračky nebol úplne bez chýb. Bezpečnostným expertom sa podarilo ovládať medvedíka na diaľku cez bluetooth pripojenie a to aj bez autorizácie (správneho mena a hesla). Čo tiež ukazuje na zanedbanie zabezpečenia, či už samotnej implementácie bluetooth-u, ako aj operačného systému.

Už toto všetko by stačilo, aby sa na výrobcu zniesla oprávnená kritika. Najhoršie však je, že napriek opakovaným snahám sa dlho odbornej komunite nedarilo s výrobcom spojiť, a na problém ho upozorniť. Neodpovedal na emaily, telefonáty, dokonca ani výzvy spoločnosti, ktorá hostovala jeho služby. A keď sa nakoniec ozval, bolo jeho stanovisko arogantné a plné chýb. Vyhovoril sa, že informácia o možnom úniku dát sa k nemu nikdy nedostala a, že nemá čo odpovedať na otázky nezávislým expertom.

Tento prípad, ako aj mnohé ďalšie ukazuje, na potencionálne nebezpečenstvo plynúce z produktov pripojených na internet, ktoré skladujú používateľove súkromné dáta vo vlastných systémoch. Keďže išlo o o výsostne súkromné až intímne informácie, ktoré asi nikto nechce vidieť len tak na internete, je reakcia výrobcu o smutnejšia.

(JF)