To millioner optagelser af børns samtaler gennem IoT-bamser lækket

To millioner stemmeoptagelser sendt mellem børn og forældre gennem et IoT-tøjdyr produceret af SpiralToys er lækket sammen med 820.000 brugerkonti. Årsagen er jammerlig sikkerhed.

Børn kan lave og modtage stemmeoptagelser gennem IoT-tøjdyr kaldt CloudPets produceret af SpiralToys. Nu er mere end to millioner af optagelserne lækket sammen med 820.000 tilhørende brugerkonti – og det er ikke første gang, skriver mediet The Register.

CloudPets beskeder bliver sendt og modtaget gennem nærmeste smartphone eller tablet via en CloudPet-app. Børn kan optage deres beskeder med tøjdyret, og forældre kan bruge deres telefon til at sende beskeder tilbage til tøjdyret. Barnet får beskeden afspillet ved at trykke på bamsens pote.

Elendig sikkerhed

Men CloudPets kørte over en MongoDB-installation, der ikke krævede nogen brugergodkendelse at tilgå. Databasen var hverken sikret af firewall eller kodeord, og 820.000 kunders data lå derfor offentligt tilgængeligt. Blandt dataene var der links til en Amazon-sky, som igen ikke krævede brugergodkendelse, skriver The Register.

I skyen lå der både optagelser, profilbilleder samt børns navne og deres familieforhold og venner.

Det eneste, der krævedes for at få fat i optagelserne, var at vide, hvor de lå. Det oplyser Troy Hunt, der afslørede sikkerhedshullet, på sin blog. Han er kendt for at stå bag hjemmesiden HaveIBeenPwned?, som undersøger læk og sikkerhedshuller.

Ifølge The Register er de omring to millioner optagelser i Amazon-skyen blevet låst mod løsepenge tre gange.

CloudPet var advaret flere gange

Minimum fire gange er Spiral Toys blevet advaret om den dårlige sikkerhed uden at reagere, skriver Troy Hunt.

»Det er en umulighed, at CloudPets (eller mReady) ikke har vidst for det første, at databasen er efterladt offentligt åben, og for det andet, at ondsindede parter har fået adgang til den,« skriver Troy Hunt.

CloudPet var endnu ikke til at få fat i for The Register, da Version2 så på historien.

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... var der godkendelsesordninger, hvor f.eks. eludstyr skulle tjekkes og godkendes af myndighederne, før det var lovligt at bruge.

Hvorfor er det samme ikke tilfældet for IoT mht. datasikkerhed og privatliv?

Der er sikkert en god teknisk forklaring - eller?

  • 10
  • 0
Poul-Henning Kamp Blogger

Jep, men som talrige lav-informations ministre i tidens løb har udtalt, "så skal vi jo nødig sætte den næste Bill Gates stolen for døren."

Da automobiler som teknologi var lige så gammel som IT er idag, havde vi haft et færdselspoliti i 25 år.

  • 14
  • 0
David Konrad

Er det nu også den helt præcise betegnelse? En læk er jo sådan noget som en dæmning der slår revner, men i det her tilfælde svarer det til at henvise til eksistensen af en version2-artikel. Som den meget interessante blog viser, så har man kunne sidde og tilgå data direkte gennem robomongo (nærmest ufatteligt), og linke direkte til wav-filer, det virker endnu i skrivende stund. Det er ikke en "læk" :)

  • 1
  • 0
Martin Høgh

men i det her tilfælde svarer det til at henvise til eksistensen af en version2-artikel


Hvis et vindue står åbent, må du ikke kravle ind og stjæle sølvtøjet. Det samme gælder data. Men der burde være sanktioner mod en så letsindig omgang med personlig data. Problemet er nok bare, at køberne af produktet har givet producenten en global, ikke-eksklusiv, uigenkaldelig ret at gøre alt hvad de vil med dataene og derved kan det være vanskeligt at argumentere for, at producenten skulle have et ansvar for at opbevare dataene sikkert.

  • 1
  • 0
David Konrad

Problemet er nok bare, at køberne af produktet har givet producenten en global, ikke-eksklusiv, uigenkaldelig ret at gøre alt hvad de vil med dataene og derved kan det være vanskeligt at argumentere for, at producenten skulle have et ansvar for at opbevare dataene sikkert.

Det fremgår ikke af deres terms and conditions, hvor man f.eks kan læse at

When you register for the CloudPets App, you should use a strong password, including a combination of upper and lower case letters. We suggest that you not use the same password for the CloudPets App that you use for other applications or services.

Det er lidt komisk. Og videre

You acknowledge and agree that when users interact with CloudPets, CloudPets may capture audio recordings (the “Recordings”) of such interactions, and that CloudPets and its licensors and contractors may use, store such Recordings and the speech data contained therein (the “Speech Data”), including your voice and likeness as captured therein, to provide and maintain the CloudPets App, and provide customer service. CloudPets and/or its licensors will not use the information contained in any Speech Data for any purpose except as set forth above. Because audio files constitute personal information under the Children’s Online Privacy Protection Act, parents are expected to consent to the use of the CloudPets App by their children who are under 13 before CloudPets will save or store any Recordings.

De indhøstede lydfiler bruges ifølge dem selv til at forbedre app'en og yde kundeservice, de vil ikke blive videregivet til andre. De henviser også selv til COPPA der har klare krav til bla. "reasonable procedures to protect the confidentiality, security, and integrity of the personal information collected from children under age 13, including by taking reasonable steps to disclose/release such personal information only to parties capable of maintaining its confidentiality and security". Så jo, man kan da virkelig argumentere for, at de har ansvar for at opbevare dataene sikkert. Det følger af den lovgivning produktet er underlagt.

Der er ingen formildende omstændigheder. At nogle har forsøgt sig med noget Ransom-halløj er ikke forunderligt, når man kunne gå direkte hen og skrive i data, eller eksportere 821.396 brugeres data ned via robomongo. Sanktionerne kommer nok helt af sig selv ifb. den forestående konkurs.

  • 7
  • 0
Martin Høgh

Med en lov der giver ret til privatliv ville selv en underskrift på overstående ikke ændre noget. Ligesom man ikke kan miste sine rettigheder ved bilkøb, selvom man har skrevet under på det.


Hvad er det for en lov? Du må gerne give andre rettighederne til dine billeder, videoer, lydfiler mv. Det gør millioner af mennesker hver dag til fx Facebook. Det er korrekt, som nævnt i en anden kommentar, at i USA må man ikke indsamle og videresælge oplysninger om børn på under 13 år (derfor aldersgrænsen på 13 for Facebook, Snapchat, mv.) Sådan en lov er der ikke i Danmark. Så vidt jeg ved, er der fælles EU lovgivning på trapperne, som sætter grænsen til 16 år.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Børn kan lave og modtage stemmeoptagelser gennem IoT-tøjdyr kaldt CloudPets produceret af SpiralToys. Nu er mere end to millioner af optagelserne lækket sammen med 820.000 tilhørende brugerkonti – og det er ikke første gang, skriver mediet The Register. CloudPets beskeder bliver sendt og modtaget gennem
nærmeste smartphone eller tablet via en CloudPet-app. Børn kan optage deres beskeder med tøjdyret, og forældre kan bruge deres telefon til at sende beskeder tilbage til tøjdyret. Barnet får beskeden afspillet ved at trykke på bamsens pote. Elendig sikkerhed Men CloudPets kørte over en MongoDB-installation, der ikke krævede nogen brugergodkendelse at tilgå. Databasen var hverken sikret a...