Fakt, że firmy przechowują zapisy dźwiękowe w internecie nie jest żadną tajemnicą. Każdy kto choć raz używał Apple Siri lub Amazon ECHO, również korzystał z takiej infrastruktury. Usługi głosowe nabierają znaczenia i wszystko wskazuje na to, że trend zostanie podtrzymany.
Ma to wiele zalet, ale pojawiają się też uzasadnione obawy związane z wyciekiem danych. Potencjalne szkody mogą być katastrofalne, zarówno dla usługodawców, jak i samych klientów. Najnowszy przypadek Spiral Toys pokazuje konsekwencje takiego zdarzenia.
Wszystko zaczęło się, gdy specjaliści bezpieczeństwa zauważyli, że baza danych producenta została podłączona do internetu bez procesu uwierzytelniania. Dwie bazy danych o objętości 9 GB były ogólnodostępne przez kilka tygodni. Posiadanie systemów testowych nie jest niczym niezwykłym, jednak w tym przypadku popełniono dwa błędy. Po pierwsze systemy testowe nigdy nie mogą zawierać prawdziwych danych klientów. Ponadto nie zachowano istotnej części zaleceń bezpieczeństwa baz MongoDB – odpowiedniej ochrony przed nieautoryzowanym dostępem.
Bazy danych zawierały nie tylko nagrania głosowe, ale również nazwy użytkowników oraz hasła. Spiral Toys posiada silny algorytm haszujący, ale brakuje jakichkolwiek wytycznych dotyczących tworzenia haseł. W rezultacie można tworzyć kody zabezpieczające składające się z jednego znaku lub inne proste, a zarazem łatwe do złamania, takie jak: „123245”, „qwerty” czy „password”.
Innym czynnikiem mającym wpływ na zaistniałą sytuację była nieprawidłowo skonfigurowana instancja MongoDB, która przez kilka tygodni była preferowanym celem cyberprzestępców. Słabo chronione bazy były również narażone na ataki typu ransomware.
Powyższa sytuacja poważnie nadszarpnęła reputację producenta. Wraz z ujawnieniem informacji o wycieku danych użytkowników cena akcji spadła o 50 centów. Nie bez znaczenia jest również fakt, iż potencjalni klienci mogli stracić zaufanie do zabawek łączących się z chmurą. Co ciekawe, nie jest to pierwszy tego typu przypadek. Niedawno Federalna Agencja ds. Sieci w Niemczech zakazała sprzedaży lalki CAYLA, która okazała się narzędziem szpiegowskim.
Źródło: G DATA