To millioner optagelser af børns samtaler gennem IoT-bamser lækket

28. februar 2017 kl. 08:5513
To millioner stemmeoptagelser sendt mellem børn og forældre gennem et IoT-tøjdyr produceret af SpiralToys er lækket sammen med 820.000 brugerkonti. Årsagen er jammerlig sikkerhed.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Børn kan lave og modtage stemmeoptagelser gennem IoT-tøjdyr kaldt CloudPets produceret af SpiralToys. Nu er mere end to millioner af optagelserne lækket sammen med 820.000 tilhørende brugerkonti – og det er ikke første gang, skriver mediet The Register.

CloudPets beskeder bliver sendt og modtaget gennem nærmeste smartphone eller tablet via en CloudPet-app. Børn kan optage deres beskeder med tøjdyret, og forældre kan bruge deres telefon til at sende beskeder tilbage til tøjdyret. Barnet får beskeden afspillet ved at trykke på bamsens pote.

Elendig sikkerhed

Men CloudPets kørte over en MongoDB-installation, der ikke krævede nogen brugergodkendelse at tilgå. Databasen var hverken sikret af firewall eller kodeord, og 820.000 kunders data lå derfor offentligt tilgængeligt. Blandt dataene var der links til en Amazon-sky, som igen ikke krævede brugergodkendelse, skriver The Register.

I skyen lå der både optagelser, profilbilleder samt børns navne og deres familieforhold og venner.

Artiklen fortsætter efter annoncen

Det eneste, der krævedes for at få fat i optagelserne, var at vide, hvor de lå. Det oplyser Troy Hunt, der afslørede sikkerhedshullet, på sin blog. Han er kendt for at stå bag hjemmesiden HaveIBeenPwned?, som undersøger læk og sikkerhedshuller.

Ifølge The Register er de omring to millioner optagelser i Amazon-skyen blevet låst mod løsepenge tre gange.

CloudPet var advaret flere gange

Minimum fire gange er Spiral Toys blevet advaret om den dårlige sikkerhed uden at reagere, skriver Troy Hunt.

»Det er en umulighed, at CloudPets (eller mReady) ikke har vidst for det første, at databasen er efterladt offentligt åben, og for det andet, at ondsindede parter har fået adgang til den,« skriver Troy Hunt.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

CloudPet var endnu ikke til at få fat i for The Register, da Version2 så på historien.

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Emner
13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
Claus Bobjerg Juul
28. februar 2017 kl. 20:51

Kan bare ikke komme hurtigt nok

  • more_vert
    • insert_linkKopier link
10
Martin Høgh
28. februar 2017 kl. 15:06

Med en lov der giver ret til privatliv ville selv en underskrift på overstående ikke ændre noget. Ligesom man ikke kan miste sine rettigheder ved bilkøb, selvom man har skrevet under på det.

Hvad er det for en lov? Du må gerne give andre rettighederne til dine billeder, videoer, lydfiler mv. Det gør millioner af mennesker hver dag til fx Facebook. Det er korrekt, som nævnt i en anden kommentar, at i USA må man ikke indsamle og videresælge oplysninger om børn på under 13 år (derfor aldersgrænsen på 13 for Facebook, Snapchat, mv.) Sådan en lov er der ikke i Danmark. Så vidt jeg ved, er der fælles EU lovgivning på trapperne, som sætter grænsen til 16 år.

  • more_vert
    • insert_linkKopier link
7
David Konrad
28. februar 2017 kl. 12:41

Problemet er nok bare, at køberne af produktet har givet producenten en global, ikke-eksklusiv, uigenkaldelig ret at gøre alt hvad de vil med dataene og derved kan det være vanskeligt at argumentere for, at producenten skulle have et ansvar for at opbevare dataene sikkert.

Det fremgår ikke af deres terms and conditions, hvor man f.eks kan læse at

When you register for the CloudPets App, you should use a strong password, including a combination of upper and lower case letters. We suggest that you not use the same password for the CloudPets App that you use for other applications or services.

Det er lidt komisk. Og videre

You acknowledge and agree that when users interact with CloudPets, CloudPets may capture audio recordings (the “Recordings”) of such interactions, and that CloudPets and its licensors and contractors may use, store such Recordings and the speech data contained therein (the “Speech Data”), including your voice and likeness as captured therein, to provide and maintain the CloudPets App, and provide customer service. CloudPets and/or its licensors will not use the information contained in any Speech Data for any purpose except as set forth above. Because audio files constitute personal information under the Children’s Online Privacy Protection Act, parents are expected to consent to the use of the CloudPets App by their children who are under 13 before CloudPets will save or store any Recordings.

De indhøstede lydfiler bruges ifølge dem selv til at forbedre app'en og yde kundeservice, de vil ikke blive videregivet til andre. De henviser også selv til COPPA der har klare krav til bla. "reasonable procedures to protect the confidentiality, security, and integrity of the personal information collected from children under age 13, including by taking reasonable steps to disclose/release such personal information only to parties capable of maintaining its confidentiality and security". Så jo, man kan da virkelig argumentere for, at de har ansvar for at opbevare dataene sikkert. Det følger af den lovgivning produktet er underlagt.

Der er ingen formildende omstændigheder. At nogle har forsøgt sig med noget Ransom-halløj er ikke forunderligt, når man kunne gå direkte hen og skrive i data, eller eksportere 821.396 brugeres data ned via robomongo. Sanktionerne kommer nok helt af sig selv ifb. den forestående konkurs.

  • more_vert
    • insert_linkKopier link
6
Michael Erichsen
28. februar 2017 kl. 11:52

Dette må være en passende forkortelse til dette.

  • more_vert
    • insert_linkKopier link
5
Martin Høgh
28. februar 2017 kl. 11:40

men i det her tilfælde svarer det til at henvise til eksistensen af en version2-artikel

Hvis et vindue står åbent, må du ikke kravle ind og stjæle sølvtøjet. Det samme gælder data. Men der burde være sanktioner mod en så letsindig omgang med personlig data. Problemet er nok bare, at køberne af produktet har givet producenten en global, ikke-eksklusiv, uigenkaldelig ret at gøre alt hvad de vil med dataene og derved kan det være vanskeligt at argumentere for, at producenten skulle have et ansvar for at opbevare dataene sikkert.

  • more_vert
    • insert_linkKopier link
4
David Konrad
28. februar 2017 kl. 09:48

Er det nu også den helt præcise betegnelse? En læk er jo sådan noget som en dæmning der slår revner, men i det her tilfælde svarer det til at henvise til eksistensen af en version2-artikel. Som den meget interessante blog viser, så har man kunne sidde og tilgå data direkte gennem robomongo (nærmest ufatteligt), og linke direkte til wav-filer, det virker endnu i skrivende stund. Det er ikke en "læk" :)

  • more_vert
    • insert_linkKopier link
2
Poul-Henning Kamp
28. februar 2017 kl. 09:18

Jep, men som talrige lav-informations ministre i tidens løb har udtalt, "så skal vi jo nødig sætte den næste Bill Gates stolen for døren."

Da automobiler som teknologi var lige så gammel som IT er idag, havde vi haft et færdselspoliti i 25 år.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
28. februar 2017 kl. 09:14

... var der godkendelsesordninger, hvor f.eks. eludstyr skulle tjekkes og godkendes af myndighederne, før det var lovligt at bruge.

Hvorfor er det samme ikke tilfældet for IoT mht. datasikkerhed og privatliv?

Der er sikkert en god teknisk forklaring - eller?

  • more_vert
    • insert_linkKopier link