La mania dell’Internet of Things imperversa, e non vi è campo che non sia stato smartizzato con una connessione a internet. A volte a caro prezzo: si è già visto come le autorità tedesche siano state costrette a ritirare dal mercato la bambola Cayla che, in virtù delle sue funzionalità, era potenzialmente pericolosa per la privacy e, non più di qualche giorno fa, è emerso un nuovo caso, riguardante i pelouche smart della Spiral Toys.
I pelouche dell’azienda in questione (i “CloudPets”), sostanzialmente, rappresentano un modo carino, da parte dei genitori, di tenere sotto controllo i bambini, quando sono lontani: tramite un’app registrano un messaggio vocale per i pargoli, lo inviano tramite connessione Wi-Fi, ed i piccini possono ascoltarlo premendo il pancino del pupazzo, registrando e inviandone uno di risposta, a propria volta. Gli account creati sui pupazzi erano salvati in alcuni server posti in Romania. Sprotetti.
Ad accorgersene è stato un ricercatore del servizio “Have I been Pwned?”, Troy Hunt, il quale ha scoperto che, facendo una ricerca con il motore “Shodan”, si accedeva facilmente a questi server e, da qui, ai database MongoDB, utilizzati da Spiral Toys, e presi di mira dagli hacker in diverse occasioni. Il risultato si è tramutato nel fatto che i criminali 2.0 si sono impadroniti del contenuto di più di 800 mila account, e di circa 2 milioni di registrazioni audio (formato WAV), chiedendo – in cambio – un riscatto, per ogni gruppo familiare, di 1 BitCoin, pari a 900 euro.
La portata della violazione, ottenuta con un attacco che ricorda il modus operandi dei ransomware, è apparsa subito estremamente vasta, e grave: il database ospitava le password certo criptate ma, a causa di alcune leggerezze (es. nessun numero minimo di caratteri da inserire), queste ultime – specie nei casi più banali – si sono rivelate facili da decodificare, con un buon attacco “a dizionario”. Da qui, poi, è stata una bazzecola arrivare alle registrazioni: queste ultime, pur ospitate su server Amazon, potevano essere facilmente scaricate, proprio in virtù dei collegamenti inseriti nei database appena violati.
Insomma, un incubo per 821.296 famiglie, cui Spiral Toys non ha posto alcuna soluzione. Quando la violazione è diventata palese, non è stato messo in campo alcun correttivo, lasciando i server aziendali in balia degli hacker da Natale all’8 Gennaio circa. Inoltre, non sono state avvertite le famiglie, che si sono ritrovate di fronte l’ingente richiesta di ricatto, di cui sopra.