Berichte über Sicherheitslücke Kuscheltiere mit Datenproblem

Erneut Ärger mit sprechendem Spielzeug: Offenbar stand eine Kundendatenbank zu vernetzten Kuscheltieren zeitweise ungeschützt im Netz. Auf entsprechende Hinweise scheint der Hersteller nicht reagiert zu haben.

Screenshot von der Cloudpets-Webseite

Screenshot von der Cloudpets-Webseite


Nachdem die Bundesnetzagentur erst vorletzte Woche die sprechende Spielzeugpuppe Cayla vom deutschen Markt genommen hat, demonstriert nun ein neuer Fall in den USA erneut die Gefahren von vernetztem Kinderspielzeug. Der Anbieter der sogenannten Cloudpets hat einem Bericht des Onlinemagazins "Motherboard" zufolge seine Kundendatenbank mit mehr als 800.000 Accounts praktisch ungeschützt ins Netz gestellt. Hacker hätten sich darüber auch Zugriff auf Sprachnachrichten verschaffen können.

Die Cloudpets sind vernetzte Kuscheltiere, Kinder können über sie mit Familienangehörigen oder Freunden Nachrichten austauschen. Dafür sprechen sie ihre Botschaften direkt in das im Stofftier integrierte Mikrofon. Eltern, Verwandte oder Freunde können mithilfe der zugehörigen App den Kindern Nachrichten schicken. Diese werden per Bluetooth von einem Smartphone oder Tablet an das Spielzeug weitergeleitet. Die entsprechenden Sounddateien sind auf einem Webserver abgelegt.

Cloudpets-Werbevideo:

Auf einem anderen Server, der öffentlich zugänglich war, haben offenbar die Kundendaten des Herstellers gelegen. Sie waren laut "Motherboard" mindestens von Weihnachten 2016 bis in die erste Januarwoche 2017 hinein einsehbar. Neben Benutzernamen und E-Mail-Adressen soll die Datenbank auch verschlüsselte Passwörter enthalten haben.

Einen Hinweis auf die offene Datenbank hatte der Sicherheitsexperte Troy Hunt bekommen, der Ende 2015 auch schon das Sicherheitsleck beim Spielzeughersteller VTech analysiert hatte. Das System sei ohne Authentifizierung zugänglich gewesen, berichtet Hunt in seinem Blog. Demnach sei die Datenbank von einer Suchmaschine indiziert worden und somit praktisch für jedermann auffindbar gewesen.

Mangelhafte Passwortpolitik

Hunt zufolge waren die Passwörter der Nutzer mit einem modernen Verfahren geschützt, doch die Passwortpolitik von Cloudpets ließ offenbar zu wünschen übrig. So soll es möglich gewesen sein, ein Passwort zu vergeben, das nur ein Zeichen lang ist. In einem Demovideo des Cloudpets-Herstellers etwa wurde das Passwort "qwe" vergeben.

Hunt machte sich daher auf die Suche und probierte einige der gebräuchlichsten Passwörter wie "123456", "password" und "abc123" aus. Damit und mit "qwe" und "cloudpets" landete Hunt in sehr kurzer Zeit einige Treffer. Mithilfe der Passwörter konnte Hunt schließlich auch auf die Textnachrichten zugreifen, die auf einem Amazon-Server lagen.

Laut Hunt und "Motherboard" hat sich der Cloudpets-Hersteller auch nach mehrmaligen Kontaktversuchen nicht zu dem Fall geäußert. Auch Versuche, die Muttergesellschaft Spiral Toys zu erreichen, seien demnach erfolglos geblieben. "Motherboard" war eigenen Angaben zufolge noch von einer weiteren Seite auf die Sicherheitslücke aufmerksam gemacht worden.

Troy Hunt berichtet noch, dass der Spielzeughersteller abgesehen von der gravierenden Sicherheitslücke ein weiteres Problem habe: Demnach soll die ganze Datenbank Anfang Januar von Kriminellen verschlüsselt worden sein. Anschließend hätten sie Lösegeld von den Betreibern gefordert.

Diese Attacke ordnet Hunt einer Reihe von weiteren Angriffen auf öffentlich zugängliche Datenbanken zu. Er kommt zudem zu der Erkenntnis, dass schon vor dem Erpressungsversuch mehrfach von unautorisierten Stellen auf die Daten zugegriffen worden sei.

brt

insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
Münchner MV 28.02.2017
1. Man muss auch nicht jeden Schmarrn mitmachen
Ich frage mich wozu es Kuscheltiere braucht die vernetzt sind. Oder mit denen man den Kindern Nachrichten schicken kann. Sind die kleinen groß genug um zu differenzieren wer da gerade spricht (Oma, Opa, etc.) sind sie auch groß genug um via Tablet oder Smartphone (im Beisein der Eltern) mit der Familie zu sprechen oder via bsp. Skype einen Videochat zu machen. Dazu stellt sich mir die Frage wie man ein solches "Hi-Tech" Kuscheltier waschen soll - ohne es dabei zu zerstören. Unser 5 jähriger hat einen riesigen Berg an Kuscheltieren, wie es halt so ist kommt da sehr viel zusammen im Laufe der Zeit. Ebenso ist er halt einfach 5 Jahre alt und entsprechend schauen nicht nur seine Klamotten, sondern auch sein Kuscheltiere gelegentlich aus. Hier Klebefinger, dort mal ein Kaba der aus mysteriösen Umständen "umfällt" und dazu das ein oder andere nächtliche Missgeschick in der Vergangenheit. Es ist so schon genug Drama wenn das aktuelle Lieblingskuscheltier mal in der Waschmaschine "baden" muss, weil es einfach "durch" ist. Der Sinn und die Zweckmäßigkeit solcher Kuscheltiere erschließt sich mir auch nach längerer Überlegung nicht. Kann mir jemand auf die Sprünge helfen?
buntschwarz 28.02.2017
2. Thema verfehlt.
Zitat von Münchner MVIch frage mich wozu es Kuscheltiere braucht die vernetzt sind. Oder mit denen man den Kindern Nachrichten schicken kann. Sind die kleinen groß genug um zu differenzieren wer da gerade spricht (Oma, Opa, etc.) sind sie auch groß genug um via Tablet oder Smartphone (im Beisein der Eltern) mit der Familie zu sprechen oder via bsp. Skype einen Videochat zu machen. Dazu stellt sich mir die Frage wie man ein solches "Hi-Tech" Kuscheltier waschen soll - ohne es dabei zu zerstören. Unser 5 jähriger hat einen riesigen Berg an Kuscheltieren, wie es halt so ist kommt da sehr viel zusammen im Laufe der Zeit. Ebenso ist er halt einfach 5 Jahre alt und entsprechend schauen nicht nur seine Klamotten, sondern auch sein Kuscheltiere gelegentlich aus. Hier Klebefinger, dort mal ein Kaba der aus mysteriösen Umständen "umfällt" und dazu das ein oder andere nächtliche Missgeschick in der Vergangenheit. Es ist so schon genug Drama wenn das aktuelle Lieblingskuscheltier mal in der Waschmaschine "baden" muss, weil es einfach "durch" ist. Der Sinn und die Zweckmäßigkeit solcher Kuscheltiere erschließt sich mir auch nach längerer Überlegung nicht. Kann mir jemand auf die Sprünge helfen?
Warum leckt sich ein Hund die Eier? Weil er es kann. Die Frage ob sowas Sinn oder Unsinn ist können sie gern anbringen wenn solche Produkte vorgestellt werden. Hier geht es um grobe Datenschutzverletzungen inkl der Weigerung diese Abzustellen nachdem man darauf hingewiesen wurde. Oder wollen sie damit etwa ausdrücken: die Nutzer seien selbst Schuld daran, dass die Datenbank nicht gesichert war? Ja die Passwörter sind ein schlechter Witz, aber hier hat der Dienstanbieter eine Fürsorgepflicht.
Münchner MV 01.03.2017
3.
Zitat von buntschwarzWarum leckt sich ein Hund die Eier? Weil er es kann. Die Frage ob sowas Sinn oder Unsinn ist können sie gern anbringen wenn solche Produkte vorgestellt werden. Hier geht es um grobe Datenschutzverletzungen inkl der Weigerung diese Abzustellen nachdem man darauf hingewiesen wurde. Oder wollen sie damit etwa ausdrücken: die Nutzer seien selbst Schuld daran, dass die Datenbank nicht gesichert war? Ja die Passwörter sind ein schlechter Witz, aber hier hat der Dienstanbieter eine Fürsorgepflicht.
Meine Frage bezog sich ja genau auf den Punkt "Der Sinn und die Zweckmäßigkeit solcher Kuscheltiere erschließt sich mir auch nach längerer Überlegung nicht. Kann mir jemand auf die Sprünge helfen?". Das alles, was möglich ist auch irgendwann umgesetzt wird ist mir auch bewusst. Natürlich haben Sie auch Recht was die Fürsorgepflicht betrifft. Heutzutage muss man sich als Unternehmen schlicht und ergreifend für den D.A.U. (Dümmsten anzunehmenden Kunden) absichern. Es dürfte also schlicht nicht möglich gemacht werden solch schwache Passwörter zu setzen. Was bleibt ist meine Frage nach dem Sinn hinter solchen Kuscheltieren.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.