2256158

Datenleck bei Spiral Toys: Millionen Sprachaufnahmen von Kindern ungeschützt

28.02.2017 | 12:17 Uhr |

Durch eine ungeschützte Datenbank der Spielzeugfirma SpiralToys konnten Hacker Anmeldedaten von Familien stehlen und versuchten, die Firma zu erpressen.

Die Cloud Pets von Spiral Toys sind flauschige Kuscheltiere, die Sprachaufnahmen aufnehmen und Nachrichten der Eltern abspielen können. Verwaltet werden diese Aufnahmen von Kinder und Eltern über eine App, deren Web-Datenbank offenbar unzureichend geschützt war.

Wie der auf Datenlecks spezialisierte Troy Hunt berichtet , handelte es sich um eine ungeschützte MongoDB-Datenbank. Kurz nachdem die Sicherheitslücke von der auf diese Aufgabe spezialisierte Suchmaschine Shodan.io erkannt wurde, kopierten offenbar mehrere Personen eine Datenbank mit knapp 821 000 Anmeldedaten wie Name und Passwort. Einer der ersten Finder der Sicherheitslücke hatte Troy Hunt vor einigen Tagen von dem Datenleck informiert. Über diese Daten, deren Gültigkeit Hunt nachweisen konnte, ließ sich sogar auf die Sprachaufnahmen der Nutzer zugreifen, persönliche Aufnahmen von Kindern für ihre Eltern oder umgekehrt. Diese Aufnahmen werden über eine andere Datenbank verwaltet, können aber zugeordnet werden. Große Probleme gab es dann jedoch, die Firma Spiral Toys von der Sicherheitslücke zu informieren. Einer der ersten Datenbank-Finder hatte seit Dezember vier Mal versucht, Spiral Toys per E-Mail zu kontaktieren, was weder über die Support-Adresse der Firma noch deren Provider gelang.

Die ungeschützte Datenbank blieb bald auch kriminellen Hackern nicht verborgen, die dann im Januar die ungeschützte Datenbank kopierten und löschten. Nur ein „Erpresserbrief“ mit der Forderung nach einem Bitcoin wurde hinterlassen. Bei ungeschützten MongoDB-Datenbank sind diese Erpressungsversuche relativ häufig.

Überraschend: Von der kalifornischen Firma Spiral Toys wurde das Datenleck gegenüber Networkworld vehement bestritten, es habe keine Hinweise auf eine Datenlücke gegeben. Die angegriffene Datenbank werde von einer Drittfirma verwaltet. Man werde aber allen Nutzern das Ändern ihres Passworts empfehlen. Probleme mit dem Datenschutz sind bei Kinderspielzeug kein Einzelfall. Erst vor einigen Tagen hatte die Bundesnetzagentur die Puppe Cayla aus dem Verkehr gezogen, vor knapp einem Jahr hatte es Probleme mit der Puppe „ Hello Barbie “ gegeben.

0 Kommentare zu diesem Artikel
2256158