С помощью этих игрушек ребенок может пересылать родителям голосовые записи через интернет. Хант отмечает, что многие юзеры использовали очень обыкновенные пароли для сервиса CloudPets, и эти пароли вполне могут подойти к другим учётным записям пользователей (например, к email).
В базе MongoDB также содержались 800 тыс. электронных адресов и паролей, но они находились в зашифрованном виде (bcrypt), поэтому добраться до некоторых данных хакерам было не так просто. Личная информация 80 тыс. собственников, записанная такими игрушками, оказалась в открытом доступе в web-сети. Всего в интернет попали данные около 820 тыс. аккаунтов. Большинство из них использовали для защиты профилей простейшую комбинацию «123456». «Многие люди использовали пароль Cloudpets, так как люди так делают». В компании Spiral Toys пока никак не прокомментировали утечку данных.
Трой Хант объявил, что исследователь, который сказал ему об уязвимости игрушек, трижды пытался связаться с компанией при помощи различных адресов, однако не смог. Поэтому киберпреступникам было незатейливо украсть файлы.
Напомним, что на прошедшей неделе Федеральное сетевое агентство Германии запретило реализацию на территории страны говорящей куклы Кайлы, так как хакеры могут взломать вмонтированное в куклу bluetooth-устройство и прослушивать разговоры ребенка, а кроме этого говорить с ним. Это признано Федеральным сетевым агентством Германии. Чтобы исключить этот риск, власти порекомендовали привести такие игрушки в негодность — другими словами, сломать их.
