Iscriviti

Violati i pelouche smart di Spiral Toys: in pericolo 821.296 famiglie

Ennesima violazione della privacy personale, questa volta perpetuata tramite i pelouche smart della Spiral Toys: gli hacker, accedendo a database non protetti, hanno carpito più di 800 mila account, e 2 milioni di file audio, chiedendo enormi riscatti.

Hi-Tech
Pubblicato il 1 marzo 2017, alle ore 10:19

Mi piace
7
0
Violati i pelouche smart di Spiral Toys: in pericolo 821.296 famiglie
Pubblicità

La mania dell’Internet of Things imperversa, e non vi è campo che non sia stato smartizzato con una connessione a internet. A volte a caro prezzo: si è già visto come le autorità tedesche siano state costrette a ritirare dal mercato la bambola Cayla che, in virtù delle sue funzionalità, era potenzialmente pericolosa per la privacy e, non più di qualche giorno fa, è emerso un nuovo caso, riguardante i pelouche smart della Spiral Toys

I pelouche dell’azienda in questione (i “CloudPets”), sostanzialmente, rappresentano un modo carino, da parte dei genitori, di tenere sotto controllo i bambini, quando sono lontani: tramite un’app registrano un messaggio vocale per i pargoli, lo inviano tramite connessione Wi-Fi, ed i piccini possono ascoltarlo premendo il pancino del pupazzo, registrando e inviandone uno di risposta, a propria volta. Gli account creati sui pupazzi erano salvati in alcuni server posti in Romania. Sprotetti.

Ad accorgersene è stato un ricercatore del servizio “Have I been Pwned?”, Troy Hunt, il quale ha scoperto che, facendo una ricerca con il motore “Shodan”, si accedeva facilmente a questi server e, da qui, ai database MongoDB, utilizzati da Spiral Toys, e presi di mira dagli hacker in diverse occasioni. Il risultato si è tramutato nel fatto che i criminali 2.0 si sono impadroniti del contenuto di più di 800 mila account, e di circa 2 milioni di registrazioni audio (formato WAV), chiedendo – in cambio – un riscatto, per ogni gruppo familiare, di 1 BitCoin, pari a 900 euro.

La portata della violazione, ottenuta con un attacco che ricorda il modus operandi dei ransomware, è apparsa subito estremamente vasta, e grave: il database ospitava le password certo criptate ma, a causa di alcune leggerezze (es. nessun numero minimo di caratteri da inserire), queste ultime – specie nei casi più banali – si sono rivelate facili da decodificare, con un buon attacco “a dizionario”. Da qui, poi, è stata una bazzecola arrivare alle registrazioni: queste ultime, pur ospitate su server Amazon, potevano essere facilmente scaricate, proprio in virtù dei collegamenti inseriti nei database appena violati. 

Insomma, un incubo per 821.296 famiglie, cui Spiral Toys non ha posto alcuna soluzione. Quando la violazione è diventata palese, non è stato messo in campo alcun correttivo, lasciando i server aziendali in balia degli hacker da Natale all’8 Gennaio circa. Inoltre, non sono state avvertite le famiglie, che si sono ritrovate di fronte l’ingente richiesta di ricatto, di cui sopra. 

Altri video interessanti:
Cosa ne pensa l’autore

Fabrizio Ferrara - Era inevitabile che accadesse qualcosa del genere: ogni risorsa che viene connessa a internet è un ingresso nel nostro mondo privato e, quindi, come le porte, va tenuta ben sbarrata, e chiusa a chiave. Cambiando le credenziali di default, e dotando - se possibile - il log-in di password complesse, e di una protezione antivirale. Anche per i giocattoli smart, simili cautele andrebbero adottate, in aggiunta ad una maggior attenzione da parte di chi li produce: cosa che, a quanto pare, non è accaduta nel caso dei giocattoli prodotti, e gestiti, dalla Spiral Toys.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!