Filtrados mensajes y datos de niños que usaban peluches CloudPet
Para las 821.296 personas que compraron uno, los ositos de peluche CloudPet les parecería una gran idea para intercambiar mensajes privados con sus niños a través de lo que solíamos llamar Internet.
Un CloudPet es sencillo de usar. El padre o el hijo hablan a un micrófono interno del peluche, que emplea un interfaz Bluetooth para subir la grabación a la nube vía el smartphone asociado a la cuenta. Los destinatarios pueden escuchar ese mensaje con otro CloudPet.
Sin embargo, las amenazas de conectar juguetes a Internet están muy presentes ya que estos peluches no disponían de medidas correctas de seguridad.
El investigador Tory Hunt afirma que hay bases de datos con información de todos los usuarios de CloudPet y que pueden llegar a contener 2,2 millones de mensajes de voz, que han sido filtradas por hackers quienes las encontraron si protección simplemente usando Shodan, el buscador de IoT.
El problema empeora al haber accedido a la base de datos personas que piden a la empresa un rescate por la información que han robado.
La base de datos no tenían ningún tipo de autentificación, aunque las cuentas de usuarios estaban protegidas con contraseñas cifradas utilizando Bcrypt, un algoritmo seguro. Pero al carecer de reglas estrictas para las contraseñas, estas se pueden llegar a descifrar.
Esto no es la primera vez que ocurre. A finales de 2015, el fabricante de juguetes VTech también sufrió una importante filtración de datos de la que informó el mismo investigador. Más mediático fue el caso de la Barbie que se podía hackear, y solo hace unos días el gobierno alemán definió como un aparato de vigilancia a la muñeca Cayla debido a su pobre seguridad.
Troy Hunt advierte de los peligros de los juguetes conectados a Internet. Solo hace falta un pequeño error por parte del fabricante para que toda esa información sobre tu familia sea de dominio publico.
Por si todo esto fuera poco, Hunt avisó a CloudPet tres veces sobre la filtración sin éxito. Un segundo investigador también contactó con la empresa el 30 de diciembre pero tampoco consiguió nada.
Nuestro consejo para los usuarios de CloudPet es que cambien la contraseña por una robusta. Si podemos sacar una moraleja de esta historia es que no deberíamos comprar juguetes conectados a Internet por lo menos hasta que exista un estándar que garantice la seguridad de nuestros datos.
Los fabricantes, como mínimo, tendrían que implementar un sistema para avisarles de este tipo de fallos. Por ahora pocos los han establecido. No deberíamos confiar en ningún dispositivo que se conecte a Internet del que no podamos informar de errores.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: