O companie care vinde ursuleti de plus "smart" a fost victima unor "pirati" cibernetici, care au accesat ilegal conturile online ale unui numar de 800.000 de clienti si au furat 2 milioane de inregistrari ale acestora, reprezentand mesaje private schimbate de parinti si copiii lor. Piratii cibernetici le-au publicat online, facandu-le sa poata fi vazute si ascultate de orice internaut din lume, apoi le-au blocat si au cerut o rascumparare pentru ele, informeaza motherboard.vice.com, citata de agentia News.ro.

-Foto: CloudPets

Incepand din prima zi de Craciun din 2016 si pana la sfarsitul primei saptamani din ianuarie 2017, compania Spiral Toys a publicat datele personale ale clientilor brandului sau CloudPets intr-o baza de date online care nu se afla in spatele unui firewall si nici nu era protejata printr-o parola. Acea baza de date - disponibila pe platforma MongoDB - era usor de gasit cu ajutorul Shodan, un motor de cautare online care descopera cu usurinta site-urile si serverele neprotejate, potrivit unor experti in securitate online, care au gasit si inspectat acea baza.

Datele expuse includeau peste 800.000 de e-mailuri si parole, care erau securizate cu puternica - si deci dificil de accesat ilegal - bcrypt, o functie hash de criptare. Din pacate, insa, multe dintre acele parole erau atat de slabe, incat erau usor de descifrat, spune Troy Hunt, un expert in securitate care asigura mentenanta online pentru serviciul online Have I Been Pwned si care a analizat datele brandului CloudPets.

In perioada in care datele personale ale clientilor au fost expuse, cel putin doi cercetatori in domeniul securitatii online - si cel mai probabil hackeri - au intrat in posesia lor. La inceputul lunii ianuarie, intr-o perioada in care mai multi infractori cibernetici scanau cu asiduitate internetul in cautarea unor baze de date neprotejate pe platforma MongoDB, pentru a le copia, a le sterge de pe serverul original si pentru a cere apoi o rascumparare, datele CloudPets au fost suprascrise de doua ori.

Doi cercetatori au avertizat, in mod independent, Motherboard in privinta acestei brese de securitate, in ultimele doua saptamani. Cu ajutorul lor, Motherboard a putut sa verifice incidentul si a ajuns la concluzia ca bresa era reala.

Vestea despre accesarea frauduloasa a CloudPets a venit doar la cateva zile dupa ce Germania si-a avertizat parintii in legatura cu faptul ca o papusa conectata la internet poate sa le "spioneze" copiii si a ordonat retragerea jucariei din magazine. Este, de asemenea, cel mai recent episod stanjenitor din domeniul securitatii online pe care il sufera producatorii de jucarii. Cel mai grav dintre acestea s-a produs atunci cand VTech, o companie din Hong Kong, a perdut datele personale ale unui numar de 6,3 milioane de copii si 4,8 milioane de parinti, inclusiv selfie-uri si mesaje private ale acestora.

Compania Spiral Toys, al carei sediu general se afla in California, nu a dat publicitatii un punct de vedere pe aceasta tema. Potrivit motherboard.vice.com, compania pare sa aiba, de asemenea, probleme financiare.

Baza de date CloudPets a fost atent cercetata in internetul "underground", au spus Hunt Gevers si Victor Gevers - presedintele Fundatiei GDI non-profit, care a anuntat problemele de securitate cibernetica victimelor afectate. Victor Gevers spune ca baza de date a fost exploatata online la sfarsitul anului trecut si continea date private de la 821.396 utilizatori inregistrati, 371.970 de inregistrari ale prietenilor acestora (profiluri si e-mailuri) si 2.182.337 de mesaje vocale.

Situatia este si mai grava fiindca datele personale ale clientilor Spiral Toys au fost accesate ilegal in urma cu doua luni, iar compania nu a instiintat victimele atacului cibernetic si nici nu a facut publica acea bresa de securitate.

"Au fost foarte iresponsabili pentru ca stiau cu siguranta despre asta. Am sunat la multe usi, de atunci", a spus Gevers pentru Motherboard.

Victor Gevers a descoperit bresa de securitate in luna decembrie si a incercat sa alerteze companie in privinta riscurilor la care se expune lasand neprotejate datele personale ale clientilor. Nu a primit insa niciun raspuns de la CloutPets si nici de la compania-mama a acestui brand, Spiral Toys.

In cele din urma, hackerii au sters intreaga baza de date de pe internet, in cadrul unui atac cibernetic de amploare mondiala, comis pe 12 ianuarie asupra bazelor de date online, cu scopul de a obtine o rascumparare a datelor furate.

Jason Pagel, participant la un workshop sustinut de Troy Hunt saptamana trecuta, care are o fiica in varsta de sase ani, a aflat despre acea bresa de securitate gratie acestui expert in securitate si s-a declarat ingrozit de acea scurgere de informatii pe internet.

"Cea mai mare ingrijorare a mea consta in faptul ca cineva ar putea sa foloseasca informatiile si sa ii trimita mesaje nepotrivite fiicei mele in varsta de sase ani. Parintii mei cu siguranta nu vor mai trimite mesaje nepoatei lor prin intermediul acestei jucarii. Si, desi ma indoiesc ca vom arunca jucaria la cos, pot va sa spun ca am transformat-o intr-un fel de animal impaiat comercializat la supra-pret", a spus Jason Pagel.