Slimme teddybeer lekt 2,2 miljoen opgenomen berichten
Het bedrijf achter een slimme teddybeer die kinderen de mogelijkheid geeft om berichten op te nemen en naar anderen door te sturen, heeft 2,2 miljoen opgenomen berichten op internet gelekt. Het gaat om de teddyberen van speelgoedfabrikant CloudPets, dat onderdeel van Spiral Toys is.
Kinderen kunnen via de teddybeer berichten naar bijvoorbeeld hun ouders sturen. Ouders kunnen via de CloudPets-app hier weer op antwoorden. Deze berichten werden echter in een onbeveiligde MongoDB-database opgeslagen waar ze voor het gehele internet toegankelijk waren. Het gaat om 2,2 miljoen opnames, zo meldt de Australische beveiligingsonderzoeker Troy Hunt. Daarnaast bevatte de database 820.000 records van gebruikeraccounts, waaronder wachtwoodhashes.
Hunt werd gewaarschuwd door een gebruiker die CloudPets al drie keer had gewaarschuwd dat de database voor iedereen toegankelijk was, maar hij ontving geen reactie. De Australische beveiligingsonderzoeker stapte naar Vice Magazine om de kwetsbaarheid verder te onderzoeken. Vice Magazine was echter al door iemand anders over het datalek getipt. Ook deze tipgever had CloudPets gewaarschuwd.
Aanval
Onbeveiligde MongoDB-databases worden al enige tijd aangevallen en voor losgeld gegijzeld. Aanvallers verwijderen de inhoud van de database en laten een bericht achter dat er losgeld moet worden betaald als de organisatie de gegevens terug wil. Uit onderzoek van Hunt blijkt dat de database van CloudPets meerdere keren door derden is benaderd en voor losgeld gegijzeld.
Volgens Hunt moet CloudPets dan ook hebben geweten dat de database onbeveiligd was en is aangevallen. Ouders zijn echter nooit over het datalek ingelicht. Het bedrijf verkeert al enige tijd in financieel zwaar weer. Het Twitter-account wordt al maanden niet meer onderhouden en ook Hunt en Vice Magazine kregen geen reactie toen ze het bedrijf met het datalek confronteerden. Inmiddels is de onbeveiligde database niet meer toegankelijk.
dus: hoe groter de fabrikant en hoe slimmer het product hoe dommer het eindresultaat...
TheYOSH
Zoals TheYOSH al zegt: Helemaal niet erg als dit soort firma's failliet gaan.
http://www.mongodb-is-web-scale.com/
iAAs security wordt steeds belangrijker: Recent hier nog de CloudFlare misser zien passeren? I.d.g. CloudPets.
Nu weer een zielige peuter als slachtoffer van de domme orwelliaanse besluiten van de ouders of verzorgers. Straks de dementerende oudere via een wegloop app, misschien? Wat staat ons allemaal nog aan onnodige toegevoegde ellende te wachten?
Uw Grootgrut-hamster die uw koopgedrag analyseert met wat zo'n knuffel aan gesprekken opvangt? Staat die wellicht al op uw nachtkastje of in de steigers? Een remote afluisterapparaatje in de vorm van een troeteldier.
Bent u een papagaai, u zult behandeld worden als een papagaai, echt. Veertienhonderd jaar geleden is dit al voorspeld. De bedoeinen zonder sandalen zouden nu de hoogste torens bouwen en de mens zou "een soort van stok" bezitten, die tegen hen sprak (de smartphone).
Bulk hosting in het buitenland uw clouddata toevertrouwen. Bij datalekken CEO's hoofdelijk aansprakelijk stellen, dan wordt ineens een security officer een wat belangrijkere schakel in het geheel en niet overruled door afdeling managment, commercie en communicatie, die met een externe cloudoplossing hopen alles voor elkaar te hebben en wat dat aangaat achterover kunnen leunen. Wie maakt hen wat als het weer elders fout gaat met hun data?
Ze wijzen in zo'n geval maar wat graag naar een ander of elkander.
en daar dus ook niet kan worden gestolen of misbruikt.
En er mogen geen "plain" uitvoeringen van die bestanden bestaan waar de clouddienst leverancier(s) eventueel nog gewoon bij kunnen. Zo niet, dan adviseer ik geen clouddienst te gebruiken.
(zeg maar: "cloudpets" en "cloudpest" is in letters maar een klein verschilletje...)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.