/ Security / MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet

MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet

126452-135836-i_rc.jpg
Moritz Rosenfeld an Februar 28, 2017 - 6:40 pm in Security

Nach Sicherheitslücken bei Hello Barbie und dem umstrittenen Verbot der Puppe Cayla gibt es erneut Aufregung um vernetztes Kinderspielzeug mit Sicherheitsproblemen. Betroffen ist ein Teddy der Firma Spiral Toys, der mit Kindern diskutieren kann. Leider entschied sich der Hersteller des Teddys dazu, sämtliche Account-Daten in einer offenen MongoDB-Datenbank abzulegen, wie der Sicherheitsforscher Troy Hunt berichtet.

MongoDB-Datenbanken werden immer wieder falsch konfiguriert und ermöglichen dann den unbegrenzten Zugriff auf die Daten. Mittlerweile haben Erpresser die ungesicherten Datenbanken als Geschäftsmodell erkannt. Im Falle von Cloudpets fanden sich Daten zu 800.000 Accounts.

Außerdem wurden Sprachsamples der Nutzer, in den meisten Fällen also von Kindern, abgelegt. Nach Angaben von Hunt enthält die Datenbank Verweise auf fast 2,2 Millionen solcher Audiodateien. Hunt testete die Funktion der App selbst und konnte eine von ihm aufgenommene Audio-Datei auf einer AWS-Instanz finden, der Link ist bis heute zugänglich.

  • In der Datenbank waren etwa 800.000 Accounts gespeichert. (Bild: Troy Hunt)
  • Cloudpets kann über eine Smartphone-App gesteuert werden. (Bild: Troy Hunt)
  • Es gibt sehr viele sehr einfache Passwörter. (Bild: Troy Hunt)
  • Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)

Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)

Der Betreiber der Webseite wurde Hunt zufolge bereits Ende Dezember auf die verwundbare Datenbank aufmerksam gemacht, reagierte aber nicht. Offenbar erfolgten Hinweise von mindestens drei Personen, auf die das Unternehmen nicht antwortete. Neben Hunt fragten ein Nutzer sowie der Motherboard-Journalist Lorenzo Franceschi-Bicchierai bei dem Unternehmen an.

Ebenfalls ungewöhnlich: Unter derselben IP-Adresse waren sowohl ein Test- als auch das Livesystem gehostet, wobei beide Instanzen offenbar vollen Zugriff auf die Nutzerdaten hatten. Die Datenbanken hatten jeweils eine Größe von 10 GByte.

Read more on: Source

Kommentare sind deaktiviert