Cloudpets: 2,2 Millionen Sprachdateien von Kinderspielzeug offen im Netz
800.000 Nutzer der Spielzeugfirma Spiral Toys, die einen ans Internet der Dinge angeschlossenen Teddybären gekauft haben, sind von einem großen Datenleck betroffen.
Tochter, Mama und der Spionbär freuen sich über eine Sprachnachricht vom Papa.
(Bild: Spiral Toys)
Die Bedenken gegen Kinderspielzeug, das sich ins Internet der Dinge einfügt, werden kräftig genährt: Über zwei Millionen Sprachaufnahmen von Kindern und Eltern, die mit Teddybären und Apps der Marke Cloudpets angefertigt wurden, waren offen im Netz abgreifbar, berichtet der Sicherheitsforscher Troy Hunt. Betroffen sind mehr als 800.000 Nutzer mitsamt ihren E-Mail-Adressen.
Mit den rund 40 US-Dollar teuren Cloudpets der Firma Spiral Toys können Eltern mit ihren Kindern kommunizieren. Das geschieht nicht direkt über Funk, sondern die Teddybären der Kinder und die mobile App der Eltern sind über die Cloud mit einer Datenbank verbunden. Beispielsweise kann eine Mutter eine Sprachnachricht aufnehmen und dann über die Cloud an das jeweilige Spielzeug senden. Ebenso geht es umgekehrt.
Lösegeld gefordert
Die dahinterstehende MongoDB-Installation sei sehr unzureichend abgesichert gewesen, schreibt Hunt. Um auf sie zugreifen zu können sei keine Authentifizierung nötig gewesen. Die Datenbank habe Verweise auf WAV-Dateien enthalten, die in der Amazon-Cloud gespeichert sind – ebenso ohne Authentifizierung abrufbar.
Das Datenleck ist offenbar auch ausgenutzt worden, heißt es in Medienberichten. Kriminelle, die im Netz auf der Suche nach unsicheren MongoDB-Installationen sind, sollen die – hochsensiblen, weil oft sehr vertraulichen – Sprachdateien kopiert, auf den Servern gelöscht und an jene eine Lösegeldforderung hinterlassen haben, die die Sprachnachrichten zurückhaben wollten. Das sei bekannterweise dreimal passiert, prinzipiell habe aber jeder Internetnutzer zugreifen können, bis die Daten gelöscht worden seien.
Hersteller mit tauben Ohren
Hunt hat nach eigenen Angaben einen Hinweis auf das Datenleck bekommen und ist damit nach einer Woche Recherchearbeit an die Öffentlichkeit gegangen. Der Informant habe ihm 580.000 Cloudpet-Aufnahmen übergeben mitsamt Screenshots von drei Hinweisen an den Spielzeughersteller. Auf keine der Warnungen habe Spiral Toys reagiert.
In Deutschland hat die Bundesnetzagentur vor zwei Wochen erklärt, dass die Spielzeugpuppe Cyla verboten ist, die ebenfalls mit dem Internet verbunden ist. Sie enthält ein Mikrofon, das Fragen der Kinder aufnimmt. Die werden dann ins Internet gesendet, um eine Antwort der Puppe zu ermöglichen. Hierzulande darf die Puppe nicht vertrieben werden und für Käufer bestehe unverändert eine Pflicht, die "Puppen unschädlich zu machen". Die Puppe ist gesetzwidrig, weil sie das nicht öffentliche gesprochene Wort oder das Bild einer anderen Person unbemerkt aufnehmen kann. Ende 2015 war bekannt geworden, dass die von Matell vertriebene interaktive Puppe Hello Barbie gehackt wurde.
Siehe zum Thema Internet der Dinge auch den Kommentar:
(anw)
