联网玩具CloudPets 泰迪熊泄漏数百万语音信息

本文涉及的产品
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
简介: 本文讲的是联网玩具CloudPets 泰迪熊泄漏数百万语音信息,仅仅几周前,一款名为“Cayla”的智能玩偶不仅遭到了德国的禁售,也引起了全球各地父母的担忧,他们主要担忧的一个潜在威胁就是:孩子和其他人之间的对话会被记录和转发。
本文讲的是 联网玩具CloudPets 泰迪熊泄漏数百万语音信息

智能玩具引发全民恐慌

仅仅几周前,一款名为“Cayla”的智能玩偶不仅遭到了德国的禁售,也引起了全球各地父母的担忧,他们主要担忧的一个潜在威胁就是:孩子和其他人之间的对话会被记录和转发。
其实,Cayla并不是第一个引发大规模担忧的联网玩具,大概一年多前一款名为“Hello Barbie”的玩具也因为同样的原因登上舆论风口。说实话,智能玩具确实是时代发展衍生的“很酷”的产物,但是我和很多人一样,并不想自己的孩子接触到它们。

近日,联网玩具 CloudPets 的生产商 Spiral Toys同样遭遇数据泄漏事件,泄漏了超过 2 百万儿童及其父母的语音信息,以及超过 80 万电子邮件和密码。

联网玩具CloudPets 泰迪熊泄漏数百万语音信息

泄漏细节分析

Have I Been Pwned? 的维护者Troy Hunt在其博客上称,Shodan搜索引擎和其它证据显示,在 12 月 25 日 到 1 月 8 日之间 ,多方多次访问了CloudPets客户的数据。他表示,在上周早些时候他就收到了有人发送给他的数据,里面包含大约583k的用户账号记录,这些数据后来被证实属于CloudPets泄漏的部分数据。

联网玩具CloudPets 泰迪熊泄漏数百万语音信息

【部分泄漏账户】

CloudPets 客户的数据储存在亚马逊的云服务上,不需要身份验证就能访问。而且有趣的是,CloudPets博客自2015年以来就没再更新,并且没有任何关于安全问题的公告。Spiral Toys 的 MongoDB 数据库则由一家罗马尼亚公司 mReady 维护,基本上也没有任何安全防护措施。

再说回给Troy Hunt发送这些数据的人,据称他曾在发现数据泄漏后多次尝试通过电子邮件联系CloudPets告知他们此事,但是最终为得到CloudPets和Spiral Toys的任何回应。

联网玩具CloudPets 泰迪熊泄漏数百万语音信息联网玩具CloudPets 泰迪熊泄漏数百万语音信息

注意上图所示的数据——超过820k的用户数据,这说明Troy Hunt最初收到的583 k数据并不是全部内容。

联网玩具CloudPets 泰迪熊泄漏数百万语音信息

【CloudPets数据库】

 联网玩具CloudPets 泰迪熊泄漏数百万语音信息

【用户记录821396条】

 联网玩具CloudPets 泰迪熊泄漏数百万语音信息

【语音信息记录2182337条】

给Troy Hunt发送数据的人曾在12月30日联系CloudPets,并发送了如下信息:“我想要通知你,在攻击者扫描因配置不当或是缺乏防火墙保护的MongoDB数据库时,CloudPets的数据库被覆盖了两次。”但是显然CloudPets不仅忽略了他的善意提醒,甚至没有阅读之前发送的电子邮件。

虽然录音不在开放的MongoDB数据库中,但是Spiral Toys使用开放的亚马逊托管服务,不需要身份认证就能够访问录音、用户个人资料、图片、儿童及他们父母的姓名、地址等信息。

据悉,此次遭泄露的密码用bcrypt算法进行了哈希处理,很难破解。但是,由于CloudPets对密码强度没有要求,这意味着即使是诸如“a”这样的单个字符也可以设为密码。 因此,Hunt仅通过猜测诸如“qwerty”、“123456”、“cloudpets”这样的常用组合就破解了大量密码。

联网玩具CloudPets 泰迪熊泄漏数百万语音信息

【破解的bcrypt哈希】

Hunt在博文中表示:

因为没有任何密码强度的要求,只要有数据任何人都能破解大量密码,登录账户,获取录音。

如何检测?

这个事件再次为智能玩具的安全性敲响了警钟,下一次你还会为你的孩子购买最新的联网智能玩具吗?但是如果您已经拥有CloudPets的账户,建议您登录“Have I Been Pwned?”网站自行检测,该网站收录了所有的泄漏数据,自然也包括CloudPets泄漏的用户帐号。
如果您发现自己的帐户已经遭到泄漏,建议您立即更改密码,并考虑停止使用CloudPets智能玩具。此外,我们还建议您对与CloudPets帐户使用了相同密码的任何其他在线帐户进行修改。

其实,这已经不是第一次联网玩具的信息泄露。2015年世界最大的电子玩具生产商之一伟易达集团(VTech)就曾因黑客攻击,暴露了世界各地约640万儿童的个人资料,包括孩子的姓名、性别、出生日期、照片以及父母信息、家庭住址、聊天记录等。智能玩具以及MongoDB数据库的安全性问题开始成为考验用户和安全专家的又一重要命题。




原文发布时间为:2017年3月2日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
相关实践学习
MongoDB数据库入门
MongoDB数据库入门实验。
快速掌握 MongoDB 数据库
本课程主要讲解MongoDB数据库的基本知识,包括MongoDB数据库的安装、配置、服务的启动、数据的CRUD操作函数使用、MongoDB索引的使用(唯一索引、地理索引、过期索引、全文索引等)、MapReduce操作实现、用户管理、Java对MongoDB的操作支持(基于2.x驱动与3.x驱动的完全讲解)。 通过学习此课程,读者将具备MongoDB数据库的开发能力,并且能够使用MongoDB进行项目开发。   相关的阿里云产品:云数据库 MongoDB版 云数据库MongoDB版支持ReplicaSet和Sharding两种部署架构,具备安全审计,时间点备份等多项企业能力。在互联网、物联网、游戏、金融等领域被广泛采用。 云数据库MongoDB版(ApsaraDB for MongoDB)完全兼容MongoDB协议,基于飞天分布式系统和高可靠存储引擎,提供多节点高可用架构、弹性扩容、容灾、备份回滚、性能优化等解决方案。 产品详情: https://www.aliyun.com/product/mongodb
目录
相关文章
|
4月前
|
机器学习/深度学习 传感器 安全
|
存储 监控 安全
智能音箱会被黑客攻击吗?10个有助于保持安全的提示
智能音响可能会测试你自己的智能,因为它们提出了一个棘手的问题:智能音响会被黑客攻击吗?
499 0
智能音箱会被黑客攻击吗?10个有助于保持安全的提示
|
机器学习/深度学习 人工智能 自然语言处理
数据智能时代,语音交互将是第一爆发领域
在云栖TechDay第十五期活动上,阿里云iDST总监初敏博士给大家带来了题为《数据智能时代的语音交互》的分享,初敏博士认为当今是一个数据驱动的智能时代,语音交互将是这个时代的第一爆发领域,将会形成新一轮入口之争。她主要从语音识别与合成、人机对话、应用案例分析三部分展开了此次分享。
4970 0
|
机器学习/深度学习 算法 计算机视觉
美军开发远程人脸识别系统,实现1公里内目标识别
美国军方正在开发一种便携式人脸识别设备,能够识别一公里外的目标。
|
Serverless 语音技术 黑灰产治理
利用函数计算实现网络游戏的敏感语音检测
多媒体兴起于PC时代,在互联网时代发扬光大,相关的开发从业者相继涌入,许多优秀的、具有个性化的产品竟相出现,但是对健康和谐的网络环境的建议工作难度也加大了,没有良好的监督,劣质内容的传播更快更广,危害更大, 本文基于函数计算提供一种检测方案,免服务器,免运维,简单快捷
3331 0
|
安全 计算机视觉
315晚会回顾:手机充电站可控制你的手机、软件合成照片秒破人脸识别
本文讲的是315晚会回顾:手机充电站可控制你的手机、软件合成照片秒破人脸识别,曝光不良企业的同时,也对公众进行安全科普教育,已经成了每年315晚会的惯例。前年是诈骗电话、手机实名制;去年是吸话费恶意程序、公共免费WiFi风险;今年的晚会果不出所料,提到了免费手机充电站安全风险和软件合成照片秒破人脸识别。
1744 0
|
安全 数据采集 搜索推荐
Shodan新增主动欺骗能力,可识别全球僵尸网络控制中心
本文讲的是Shodan新增主动欺骗能力,可识别全球僵尸网络控制中心,根据ZDnet援引Shodan消息,网络空间搜索引擎Shodan刚刚宣布了一项新能力——Malware Hunter,识别全球范围各种僵尸网络的控制中心(C2)。
1549 0
|
安全 物联网 C++
记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞
本文讲的是记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞,安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。
1559 0