image

Onderzoekers hekelen datalekmelding speelgoedfabrikant

woensdag 1 maart 2017, 11:50 door Redactie, 4 reacties

Onderzoekers hebben uitgehaald naar de datalekmelding van een speelgoedfabrikant die 2,2 miljoen berichten van kinderen en ouders op internet lekte die via een slimme teddybeer waren opgenomen. Het gaat om de teddyberen van CloudPets, dat onderdeel van speelgoedfabrikant Spiral Toys is.

De teddyberen maken het voor kinderen en ouders mogelijk om via het internet en de teddybeer berichten met elkaar uit te wisselen. Spiral Toys bleek de gegevens van CloudPets-gebruikers in een onbeveiligde database op te slaan waar ze voor het gehele internet toegankelijk waren. Aanvallers wisten zodoende toegang tot de database te krijgen en gijzelden die voor losgeld. Zowel eigenaren van de teddybeer, onderzoekers als journalisten waarschuwden Spiral Toys voor de onbeveiligde database, maar kregen geen enkele reactie van de fabrikant.

Nu heeft Spiral Toys een datalekmelding naar de Californische autoriteiten gestuurd (pdf) en voor het eerst op het incident gereageerd. Volgens de directeur van Spiral Toys zijn berichten dat er 2,2 miljoen berichten zijn gelekt onjuist. Ook zou het bedrijf nooit de waarschuwingen over het datalek hebben ontvangen, zo laat de directeur tegenover IDG weten. Daarnaast dacht Spiral Toys dat het om een "klein probleem" ging.

In een tweede reactie verklaart de directeur echter dat het bedrijf meerdere keren door een journalist was benaderd. "Maar je gaat niet tegenover een wildvreemde op een datalek reageren", aldus de directeur. Hij zou verder hebben gezegd dat de journalist van Vice Magazine geen goede reputatie heeft en waarschijnlijk een negatief artikel zou schrijven. Verder stelt de directeur dat er meerdere rechtszaken tegen Vice Magazine lopen.

In de datalekmelding aan de Californische autoriteiten verklaart Spiral Toys verschillende zaken die volgens de Australische beveiligingsonderzoeker Troy Hunt niet kloppen. Zo beweert het bedrijf pas op 22 februari over het datalek te zijn ingelicht, terwijl dat in werkelijkheid al op 31 december vorig jaar was. Verder stelt Spiral Toys dat gebruikers nu veiligere wachtwoorden moeten gebruiken, maar een wachtwoord als 'cloudpets' wordt nog steeds geaccepteerd. Ook ontkent de speelgoedfabrikant door criminelen te zijn benaderd die de database voor losgeld hadden gegijzeld. Verder laat het bedrijf weten dat 500.000 gebruikers gedupeerd zijn geraakt, terwijl de database van meer dan 800.000 gebruikers de gegevens bevatte.

Reacties (4)
01-03-2017, 12:35 door Anoniem
Failliet procederen die fabrikant, en als het kan nog hoofdelijk ook. Dat is het enige wat werkt als voorbeeld voor andere fabrikanten met soortgelijke producten. Deze fabrikant mag geofferd worden want met zo'n reactie van de directeur weet je zeker dat ze het nooit onder de knie gaan krijgen.
01-03-2017, 13:06 door Rob Koch - Koch Consultancy
[Verwijderd door moderator]
01-03-2017, 13:12 door Anoniem
Misschien moeten ze eens natrekken of plain emails worden geweigerd met hun encrypted email...
01-03-2017, 20:07 door Wim ten Brink
Door Anoniem: Failliet procederen die fabrikant, en als het kan nog hoofdelijk ook. Dat is het enige wat werkt als voorbeeld voor andere fabrikanten met soortgelijke producten. Deze fabrikant mag geofferd worden want met zo'n reactie van de directeur weet je zeker dat ze het nooit onder de knie gaan krijgen.
Dat werkt voor geen meter. Het is immers een bedrijf met aandeelhouders. Die aandeelhouders halen dan de kas zoveel mogelijk leeg, liquideren wat er te liquideren valt en wat er overblijft is dan nog vrij weinig. Ze gaan dan gewoon voortijdig failliet. Alleen het personeel is dan de dupe.
En misschien een paar aandeelhouders die er niet in slagen om nog wat geld te krijgen voor hun aandelen.
Die aandeelhouders investeren vervolgens weer in een nieuw bedrijf dat op precies dezelfde manier tewerk gaat. Immers, IoT is veel geld waard en er valt veel winst mee te behalen.
Ten slotte is het niet het bedrijf maar de directie die zich aan deze misstanden schuldig heeft gemaakt. Die komen er ongestraft mee weg.
---
Verder is het probleem natuurlijk dat de CloudPets producten bij Amazon nog steeds drie sterren of meer hebben. En de negatieve reviews hebben nog weinig te maken met deze datalekken. Eerder met gebruikers die deze troep niet aan de praat krijgen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.