物聯網裝置的安全再敲響警鐘。Spiraltoys 旗下的 CloudPet 系列玩具,主打將毛公仔連上雲端,讓父母和子女可透過手機 App 及毛公仔互相傳送錄音訊息。不過有安全研究人員發現製造商似乎未有做足資料保安措施,涉及 80 萬用戶資料及逾 200 萬段語音訊息已遭外洩,是繼 VTech 遭黑客入侵後,近期另一宗涉及智能玩具的大規模資料外洩事件。
CloudPet 資料庫不設防 毛公仔隨時變竊聽裝置
CloudPet 是外國玩具品牌 Spiraltoys 旗下的智能玩具系列,主打特色是毛公仔具備錄音及發聲功能,父母可透過手機 App 錄音給家中子女,經由毛公仔播放錄音,而子女同樣可透過毛公仔傳送語音。
不過近日安全研究人員 Troy Hunt 就揭發,該款玩具因為不嚴密的保安措施,導致逾 82 萬名註冊用戶及近 220 萬段語音訊息外洩。原因在於 CloudPet 儲存這些資料的 MongoDB 資料庫架設在未受防火牆及強密碼保護的對外網絡上,研究人員指透過 Shodan 搜尋引擎,可以輕易搜尋到網絡上這些未受保護的網站和伺服器。
一般而言,即使用戶資料外洩,強密碼及哈希加密技術能有效阻止黑客破解這些資料,但研究人員 Troy Hunt 亦指出為數不少的密碼均使用弱密碼令黑客能較容易破解。更嚴重的是,相關的漏洞在去年已被不少人發現,包括 Hunt 在內的不少安全專家亦曾通知 CloudPet 均未獲回應,直到今年一月相關資料庫的資料被不法組織刪除,並勒索要求支付贖金後,該公司才封鎖外連讓資料庫無法被 Shodan 搜尋到。
Hunt 又提到,不少儲存在 Amazon S3 上的語音訊息在存取時無需驗證,黑客只需猜中檔案鏈接即可聽到錄音;此外不少用戶使用如 123456 或 cloudpets 等密碼均令黑客可輕易登入他們的賬戶聽到儲存的語音訊息。
其實類似的事件並非首次發生,過往本網亦曾報導過本地兒童電子學習用品公司 VTech 遭黑客入侵外洩客戶資料,可見隨著越來越多裝置連接網絡,相關的安全風險亦隨之而產生,尤其是電子玩具、學習工具這類專為兒童而設裝置,大部分父母未必會了解或重視當中涉及的安全風險, 因此採用較弱的密碼更易令黑客有機可乘,不過作為生產廠商更應重視連網產品的網絡保安措施,對消費者負責。
Source: Motherboard Troyhunt
