圖片來源: 

Troy Hunt

安全研究人員Troy Hunt指出一款連網布偶CloudPet製造商洩露超過200萬筆親子語音檔,而且已經遭到多次存取,並遭歹徒挾持資料要求贖金。 

CloudPet是Spiral Toys製造銷售的連網布偶系列,它具有麥克風與擴音器,能讓父母透過行動App及布偶,經由網路接收兒童錄音訊息,或是反過來傳送語音訊息給家人。 

CloudPet的廣告影片:

 

研究人員偶然發現,CloudPet儲存父母與幼童對話錄音資料的MongoDB是架在公司對外的網段上,沒有防火牆,不需任何驗證即可存取,因此被搜尋聯網物件常用的搜尋引擎Shodan索引到。後來他課堂上的一名學生去年送CloudPet給女兒當聖誕節禮物後的第一天,信件就外洩。 

經過追查發現,CloudPet供應商不設防的架構使大量資料,包括超過82萬名註冊用戶,以及將近220萬筆用戶錄音檔公開於網路上。此外,研究人員還可清楚辨識出玩具廠商系統2個分別為開發用及測試用的資料庫,每個大小將近10GB大小的資料庫系統。 

Hunt表示,這家玩具廠商系統曝露在網路上已經有許多人發現,而從去年底,包括他在內,人們至少曾經4度通知該廠商,但都沒有回應。 

更糟的是,一月初這些資料庫已分別遭到好幾個不同的惡意組織分別存取,到了一月中,這兩個資料庫甚至遭到駭客刪除,並留下訊息要求支付1比特幣贖金的訊息。直到1月13日這家玩具公司才終於將系統對外關閉,而無法為Shodan索引。 

本研究也證實德國政府的憂慮。就在二周前,德國通訊主管機關擔心連網玩具安全防護不夠,可能使有心人士取得兒童的影像或錄音資料,針對一款會說話的洋娃娃My Friend Cayla發佈禁售命令。在此之前,香港兒童電子學習產品製造商VTech(偉易達)也遭到駭客入侵,導致超過480萬名用戶的資料外洩。

 

延伸閱讀:MongoDB勒索攻擊興起

駭客鎖定公開的MongoDB資料庫移除並勒索

超過一打駭客加入資料庫勒索行列,MongoDB祭出安全查核表

大風吹,MongoDB勒索手法吹到ElasticSearch伺服器了

 


Advertisement

更多 iThome相關內容