Из-за плюшевых мишек-хакеров в Интернет попали разговоры двух миллионов человек. Кроме того, хакеры смогли завладеть данными порядка 800 тысяч пользователей Сети. В руки злоумышленников попали адреса электронной почты пользователей и их пароли. Причина — умные плюшевые игрушки от компании CloudPets, позволяющие детям и их родителям обмениваться голосовыми сообщениями. Передача информации идет по беспроводной связи — при подключении игровой системы к телефону или планшету с предустановленным фирменным приложением. Сжав лапку игрушки, ребенок передает голосовое сообщение, которое поступает на смартфон. Родители, в свою очередь, используют для передачи голосовых сообщений мобильное устройство. Как только это сообщение приходит, у игрушки начинает мигать лампочка в виде сердца. Нажав на нее, ребенок может прослушать сообщение мамы, папы или бабушки. Через серверы компании ежедневно проходили тысячи сообщений владельцев умных мишек, коровок или свинок, причем записи хранились в облаке, на случай, если владелец игрушки пожелает повторно прослушать сообщения. Однако разработчики не слишком хорошо позаботились о безопасности хранимых у себя данных, которые хранились общедоступном сегменте интернета. Для доступа к ним не требовалась авторизация, а выявить их можно было при помощи сервиса, ориентированного на поиск устройств, подключенных к Интернету. В защиту компании можно сказать, что информация в базе данных была зашифрована при помощи адаптивной криптографической функции формирования ключа bcrypt. Но большинство паролей пользователей оказались настолько простыми (например, «12345»), что злоумышленники взломали их без особого труда. Когда стало известно о взломе, родители, купившие своим детям умные игрушки от CloudPets, начали переживать, что злоумышленники смогут отправлять свои сообщения их детям. Можно ли покупать такие игрушк, в чем их опасность? Евгений Климов технический директор компании «Информзащита» «Месяц назад делал похожий доклад для форума по информационной безопасности. Я делился своим опытом, когда дочке подарили часы Baby smart watch, которые позволяют удаленно смотреть, где ребенок находится, даже переговариваться с ребенком. И там ситуация в безопасности вообще плачевная, в этом виноваты производители самих игрушек, которые стремятся за быстрой и легкой наживой. Их понять тоже можно, потому что они, минимизируя стоимость игрушек, берут китайские чипы, содержащие какой-то JPS-модуль. И дальше, с помощью, наверное, тоже не очень дорогих программистов, быстро запиливают приложение для того, чтобы работать с этим сервисом. Задачи по проработке именно серьезной безопасности у них наверняка не стоит — дополнительные затраты, это удорожает продукцию, снижает их шансы на продажу устройства на рынке. И там примерно точно такие же проблемы: пароли стандартные используются, данные в открытом виде хранятся. С часами была именно такая ситуация, «12345» — это пароль, который изначально по умолчанию зашит производителем и мало кто из потребителей задумывается о его смене, хотя в инструкции написано: мы рекомендуем поменять пароль. Тут сейчас посоветовать ничего нельзя, кроме того, что если реально надо ребенку что-то подарить, берите устройство от проверенных компаний. Злоумышленник через ребенка может за вами шпионить. Недавно выпускалась игрушка, к которой можно было удаленно подключиться и слушать то, что происходит вокруг. А дальше надо рассматривать, являетесь ли вы целью этой атаки или нет потенциально. Подобные игрушки, подключенные, тоже потенциально могут использоваться даже для проведения DDoS-атак. И будущее, которое расписывают некоторые шутники — «скоро вас начнет атаковать ваша микроволновка» — вполне реализуемо. Педофилы, я думаю, 100% будут этой информацией пользоваться. Наша задача как родителей — думать, когда мы покупаем подобные игрушки, какой-то такой здоровый уровень паранойи, и исходя из этого принимать решение — покупать эту игрушку или нет. Государство, мне кажется, должно озаботиться регулированием в данной области. Будет ли увеличиваться количество подключенных устройств, коннект-устройств — да, будет. По прогнозам некоторых экспертов, сейчас проникновение подобных устройств — 6 млрд, а к 2020 году ожидается цифра в районе 60 млрд». В Германии в феврале запретили продавать две игрушки от американского производителя Genesis Toys. Речь идет о говорящей кукле по имени Кайла и роботе i-Que. Обе игрушки благодаря Bluetooth могут взломать хакеры и использовать в качестве «жучков», а также для разговоров с детьми. Федеральное сетевое агентство Германии запретило владение подобными игрушками и обязало граждан, купивших кукол и роботов, уничтожить их.
