CloudPets es un juguete blando conectado a Internet fabricado por Spiral Toys que fue objeto de numerosas vulnerabilidades de seguridad en febrero de 2017. [1] [2] Los juguetes de peluche estilo osito de peluche utilizan Bluetooth para conectarse al teléfono inteligente de un padre para permitir que miembros de la familia lejanos para enviar mensajes de voz al juguete y permitir que los niños devuelvan mensajes de voz. [3]
Los investigadores de seguridad demostraron que el juguete en sí era inseguro y se podía acceder de manera trivial a través de Bluetooth. Los registros personales de más de 820.000 propietarios del juguete [4] se almacenaron en una base de datos insegura de MongoDB . Los atacantes también reemplazaron la base de datos con una demanda de rescate que apuntaba a una dirección de Bitcoin . [5] Los datos recuperados de la base de datos de CloudPets se enviaron al investigador de seguridad australiano Troy Hunt , quien los incluyó en Have I Been Pwned? , una base de datos de usuarios cuyos datos se han visto comprometidos. La base de datos de registros de usuarios también contenía enlaces que apuntaban a más de 2,2 millones de archivos de audio alojados en Amazon Web Services.que contiene los mensajes de voz enviados desde y hacia los juguetes. [4] [6] Hunt declaró que el hackeo de la base de datos fue "ridículamente fácil". [7]
Luego de la divulgación de las vulnerabilidades de seguridad, CloudPets comenzó a imponer requisitos de contraseña más estrictos a los usuarios del servicio; anteriormente no habían aplicado ningún requisito de complejidad de contraseña y su documentación había sugerido contraseñas cortas y débiles. [3] Numerosos periodistas e investigadores de seguridad, incluido Hunt, señalaron que la empresa no respondió a las divulgaciones de los investigadores de seguridad ni a las consultas de los periodistas. [4]