Специалист по безопасности получил доступ к аудиозаписям с плюшевых игрушек CloudPets Статьи редакции
Специалист по безопасности Трой Хант (Troy Hunt) получил доступ к личным данным 800 тысяч владельцев игрушек компании Spiral Toys. Плюшевые звери CloudPets позволяют родителям и детям обмениваться голосовыми сообщениями через встроенные динамики и микрофоны, а также мобильное приложение с использованием Bluetooth. Подробности об этом сообщает издание Motherboard.
Как отметил Хант, он сумел получить доступ из-за недостаточной защищённости базы данных, за которую отвечает система MongoDB. По словам специалиста, любой желающий может заполучить более двух миллионов записей пользователей, часть из которых уже были украдены. На них могут содержаться личные данные родителей и детей, а также информация о месте жительства и дате рождения.
Специалист проанализировал опубликованные данные и заявил, что большинство пользователей использовали ненадёжные пароли, которые можно легко подобрать. Он сообщил об утечке 28 февраля, однако данные электронных адресов и паролей последний раз пытались украсть в начале января.
Как отметил Engadget, недостатки безопасности базы данных можно устранить в ближайшее время, если компания обратит внимание на проблему или обратится за помощью. В издании заявили, что Spiral Toys никак не прокомментировала информацию о взломе и не подтвердила общение с злоумышленниками.
В конце февраля власти Германии обратили внимание на небезопасное использование «умных» кукол Cayla, с помощью которых хакеры могут подслушивать разговоры в доме. Они закрыли продажи игрушек и попросили родителей, которые уже приобрели кукол для своих детей, «избавиться от них».
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
Монга же по умолчанию только с локалхоста принимает подключения
Комментарий удален модератором
Ну если мы говорим, что дефолтный конфиг на продакшен, то у Монго все ок. Она работает только локально по дефолту. Отсюда и нет базовой защиты, потому что зачем.
А эти ребята наверно хотели с дев машины что-то смотреть/править на продакшене. Про туннелирование не слышали, вот и открыли доступ наружу.
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Монга тут точно не виновата. Если хранилище не имеет средств аутентификации по умолчанию и об этом известно до начала разработки, то разработчики должны учитывать это. Повешать на локалхост, сделать доступной только из внутренней сети, фаерволом разрешить доступ только с довереных айпи и тд. Если запустить мускл с пустым рутовым паролем, мускл будет виноват или разработчик?
Комментарий недоступен
Комментарий недоступен
Помню эту жуткую историю, где чел, хакнувший систему контроля за малышом, пугал его по ночам страшным голосом, а родители думали, что ребёнок всё выдумал
Комментарий недоступен
AdminParty!
ТРОЙянские медведи
Почему-то вспомнился "Плюшевый мишка" Гарри Гаррисона.
В смысле "недостаточной защищённости"? Там все записи лежали буквально на веб странице без какого-либо пароля. Это не "недостаточная", защищённость, а её полное отсутствие.