Erneut waren Daten von Kindern öffentlich im Internet abrufbar. Konkret geht es um Sprachaufnahmen, die ein Teddybär der Firma Spiral Toys anfertigte. Der Hersteller speicherte die in einer MongoDB-Datenbank, die offen mit den Sprachaufnahmen und den Kinderkonten per Internet erreichbar war.
Anzeige
Hier im Blog habe ich ja bereits häufiger vor Sicherheitslücken in Kinderspielzeug gewarnt oder über Datenlecks berichtet (siehe Artikelliste am Artikelende). Der letzte Fall betraf die Puppe MyFriedCarla, die von der Bundesnetzagentur verboten und aus dem Verkehr gezogen wurde. Ich habe im Blog-Beitrag Spielzeug-Puppe "MyFriendCayla" in Deutschland verboten auf das Thema hingewiesen. Das Verbot wurde mit der heimlichen Überwachung durch Sprach- und Videoaufzeichnung des Spielzeugs begründet. Im Nachhinein gesehen, handelte die Bundesnetzagentur richtig.
Nun wurde ein neuer Fall bekannt, wo genau solche Sprachaufnahmen von Kindern ins Internet gelangten. Der Sicherheitsforscher Troy Hunt hat den Fall hier veröffentlicht. Ein Teddybär der Firma Spiral Toys kann mit Kindern diskutieren und zeichnete dazu Sprachaufnahmen der Kleinen auf. Über WLAN wurden die Sprachnachrichten dann an den Hersteller übertragen und in einer MongoDB-Datenbank abgelegt.
Diese Datenbank war aber offen über das Internet erreichbar, so dass Dritte deren Inhalt mit den Daten von über 800.000 Benutzerkonten abgreifen konnten. Zudem fanden sich in der Datenbank die erwähnten Sprachaufzeichnungen.
Noch unverständlicher: Seit Dezember 2016 fragten mindestens drei Personen den Hersteller nach der offenen Datenbank, über die Daten eines Test- und eines Live-Systems abrufbar waren. Der Hersteller reagierte nicht und schloss die Sicherheitslücke auch nicht. Die Passwörter zum Zugriff auf die Daten sind ebenfalls sehr leicht zu bestimmen – bei Kindern wird nichts kompliziertes gewählt. So funktioniert auch ein Passwort mit der Ziffer 1 oder so etwas wie 123456 oder abcdef bei vielen Nutzerkonten.
Am Ende des Tages hat ein Erpresser die Datenbank abgesaugt und dem Hersteller eine Nachricht auf die geklauten Daten hinterlassen. Nach aktuellen Kenntnissen sind die betroffenen Familien bis heute nicht über den Datendiebstahl informiert. Ein paar zusätzliche Informationen finden sich in diesem deutschsprachigen Golem-Beitrag, sowie bei heise.de. Die Erfahrung aus den hier zitierten Fällen zeigt, dass Eltern grob fahrlässig handeln, wenn sie solches Spielzeug beschaffen und dann auch noch per WLAN an das Interne anbinden.
Ähnliche Artikel:
Fisher Price Spielzeuge Ziel von Hackern
IoT-Datenschutz: Polizei will Amazon Echo-Daten
Lego: Wenn die Malware im Kinderzimmer sitzt
Schnapsidee: Mattels 3D-Drucker fürs Kinderzimmer
3,3 Millionen Nutzerdaten von Hello Kitty-Fans geleaked
Kinderzimmer-Hacks: VTech und Hello Barbie
Spielzeug-Puppe "MyFriendCayla" in Deutschland verboten
2015
Das ist schon ein dicker Teddy, Äh Hammer, ich vertrete schon seit Jahren die Meinung das die Hersteller selbst dafür Haftbar gemacht werden müssten, es müssten Empfindliche Strafen dafür geben wenn Hersteller, egal ob Spielzeug oder Wearable, ihre Datenbanken nicht Ordnungsgemäß geschützt und gesichert werden.
Ich gehe mal davon aus wenn Datenbanken und Cloud Systeme besser geschützt werden ein Drittel aller Hacks vermieden werden würden.
So sollten nicht nur für Hacker empfindliche Strafen drohen, sondern auch für all jene Hersteller als auch Firmen genauso Hart bestraft werden.
Das Hacker verurteilt werden hört man oft, aber das jene Hersteller und Firmen dafür genauso Hart bestraft werden eher weniger, bis gar nicht, die tun immer so von wegen "damit hätten wir nicht gerechnet".
Für mich als Administrator in einem Kleinen Mittelständigen Unternehmen gilt die Sicherheit der uns vom Kunden anvertrauten Daten Höchste Priorität, es kann uns Natürlich auch jederzeit Treffen das wir gehackt werden, aber bevor das Passiert versuche ich nach besten wissen und gewissen alles dafür zu tun das dies unmöglich ist.
Was zur Haftung der Hersteller, die ja bereits in den Lizenz- und Nutzungsverträgen (die kein Mensch liest) ausgeschlossen bzw. entsprechende Rechte inkludiert werden.
Ich war gerade bei Avira (verwende selbst aber ESET) und habe mir mal die Lizenzbedingungen angesehen.
Sehr lustig was ein Virenscanner bzw. das Cleaner-Tool "Free System SppedUp" so alles brauchen für das "tolle Benutzererlebnis"…
Auszug aus dem LV:
"Wir werden möglicherweise bestimmte Daten über Sie, Ihr Gerät (wie unten definiert) und die Interaktionen Ihres Gerätes mit anderen Geräten (zum Beispiel, Gerätekennnummer, Geräte-Internetprotokoll-Adresse („IP"), Standort, Inhalt, Spracheinstellungen, Geräte-IMEI-Code, Gerätemarke und -modell, Akkustand, Version des Geräte-Betriebssystems, Gerätetelefonnummer, SIM-Nummer, Netzanbietername, Speicherstatus, Geoinformationen auf der Grundlage der GPS/-WIFI-/Netzwerkposition und andere technische Informationen, die wir benötigen, um Ihnen unsere Produkte ordnungsgemäß bereitzustellen) erheben, speichern und nutzen. Einige dieser Informationen enthalten möglicherweise Daten, mit denen Sie identifiziert werden können, einschließlich, jedoch nicht beschränkt auf Namen, Adresse, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer, Kreditkarteninformationen, Gesichtsbild, Probe der Stimme oder andere biometrische Aufzeichnungen (gemeinsam „Personenbezogenen Daten"), sowie sensible Daten, die in Dateien auf Ihrem Gerät gespeichert sind. Wir werden Ihre Personenbezogenen Daten möglicherweise auch in andere Länder übermitteln, in denen wir oder die Zulieferer unserer Produkte über Einrichtungen verfügen."
Macht alles keinen Spaß mehr!
Jetzt muss ich, wenn sie später kommt, unsere Zugehfrau mal fragen ob sie auch meinen Standortdaten, meine Fingerabdrücke und mein Gesichtsbild braucht, um hier sauber machen zu können. Vielleicht hat die gute Seele inzwischen auch schon neue, "moderne" Vertragsbedingungen… Wer weiß…
Das ist doch alles total verrückt!!!