亚洲女久久久噜噜噜熟女,18禁扒开衣服狂看美女胸

物聯(lián)網(wǎng)安全新事故：智能玩具泄露200萬(wàn)父母與兒童語(yǔ)音信息

責(zé)任編輯：editor004

2017-03-01 12:10:37

摘自：E安全

一家互聯(lián)網(wǎng)接入型智能動(dòng)物玩具廠商遭遇數(shù)據(jù)泄露，敏感客戶數(shù)據(jù)庫(kù)受到惡意入侵。此次事故外泄的內(nèi)容包括超過200萬(wàn)父母與兒童的語(yǔ)音消息，外加超過80萬(wàn)個(gè)帳戶的電子郵箱地址與密碼數(shù)據(jù)。

物聯(lián)網(wǎng)安全新事故：智能玩具導(dǎo)致超過200萬(wàn)父母與兒童語(yǔ)音信息外泄-E安全

E安全3月1日訊一家互聯(lián)網(wǎng)接入型智能動(dòng)物玩具廠商遭遇數(shù)據(jù)泄露，敏感客戶數(shù)據(jù)庫(kù)受到惡意入侵。此次事故外泄的內(nèi)容包括超過200萬(wàn)父母與兒童的語(yǔ)音消息，外加超過80萬(wàn)個(gè)帳戶的電子郵箱地址與密碼數(shù)據(jù)。

根據(jù)本周一由Troy Hunt發(fā)表的博客文章介紹，這些數(shù)據(jù)被保存在一套未經(jīng)密碼保護(hù)的公開數(shù)據(jù)庫(kù)當(dāng)中。他表示曾于去年12月25日到今年1月8日期間利用Shodan計(jì)算機(jī)搜索引擎及其它證據(jù)進(jìn)行調(diào)查分析，最終確定該客戶數(shù)據(jù)已經(jīng)由多方多次進(jìn)行訪問，其中包括最終掌握該數(shù)據(jù)并實(shí)施勒索的惡意人士。

此次泄露的數(shù)據(jù)來自Spiral Toys公司，即CloudPets系列動(dòng)物填充玩具的制造商。這些智能玩具能夠記錄并播放由父母與兒童通過互聯(lián)網(wǎng)發(fā)出的語(yǔ)音消息。用于容納這些數(shù)據(jù)的MongoDB數(shù)據(jù)庫(kù)中保存有近220萬(wàn)條語(yǔ)音記錄，由一家名為mReady的羅馬尼亞企業(yè)負(fù)責(zé)管理——其與Spiral Toys之間似乎保持著合作協(xié)議。Hunt指出，人們至少向該玩具制造商發(fā)出了四次數(shù)據(jù)泄露提醒。無論如何，最終勒索方留下的證據(jù)表明該制造商的管理層幾乎一定已經(jīng)了解到此番入侵事件。

物聯(lián)網(wǎng)安全新事故：智能玩具導(dǎo)致超過200萬(wàn)父母與兒童語(yǔ)音信息外泄-E安全

這套數(shù)據(jù)庫(kù)目前已可直接訪問，且未經(jīng)任何密碼保護(hù)

Hunt在報(bào)告中寫道:

我們很難相信CloudPets（或者mReady）方面此前并未第一時(shí)間了解到情況，但相關(guān)數(shù)據(jù)庫(kù)仍持續(xù)處于開放狀態(tài)并隨后遭到惡意方的訪問。很明顯，惡意人士變更了該系統(tǒng)的安全配置，而廠商則無法忽視對(duì)方留下的勒索要求。因此數(shù)據(jù)庫(kù)暴露與勒索行為必然已經(jīng)被廠商所發(fā)現(xiàn)，但其卻從未對(duì)此事進(jìn)行通報(bào)。

家長(zhǎng)請(qǐng)務(wù)必慎重購(gòu)買使用智能玩具

此次數(shù)據(jù)泄露進(jìn)一步引發(fā)了人們對(duì)于互聯(lián)網(wǎng)接入型智能玩具在隱私及安全性方面薄弱表現(xiàn)的擔(dān)憂。2015年11月，技術(shù)新聞網(wǎng)站Motherboard就曾經(jīng)披露玩具制造商VTech遭遇入侵，近500萬(wàn)名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬(wàn)兒童的姓名、性別與生日不慎外泄。就在一個(gè)月后，一位研究人員又發(fā)現(xiàn)美泰公司生產(chǎn)的互聯(lián)網(wǎng)接入型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實(shí)時(shí)對(duì)話。

除了將客戶數(shù)據(jù)庫(kù)保存在可公開訪問的位置之外，Spiral Toys公司還利用一款未經(jīng)任何驗(yàn)證機(jī)制保護(hù)的Amazon托管服務(wù)存儲(chǔ)客戶的個(gè)人資料、兒童姓名及其與父母、親屬及朋友間的關(guān)系信息。只需要了解文件的所處位置，任何人都能夠輕松獲取到該數(shù)據(jù)——Hunt表示，文件位置信息亦不難找到。

更奇怪的是，對(duì)于安全管理如此寬松的產(chǎn)品，該服務(wù)本采用了極為嚴(yán)密的bcrypt散列函數(shù)進(jìn)行密碼保護(hù)。然而遺憾的是，CloudPets使用了有史以來最為寬松的一項(xiàng)密碼策略。其允許使用任何密碼內(nèi)容——例如單個(gè)字符“a”或者短鍵盤序列“qwe”這樣的密碼設(shè)置。

Hunt寫道，“這意味著當(dāng)我在將bcrypt哈希輸入密碼破解應(yīng)用hashcat并參照全球使用頻率最高的密碼詞匯表時(shí)（包括‘qwerty’、‘password’以及‘123456’等），我能夠在很短的時(shí)間內(nèi)破解大量密碼。”

物聯(lián)網(wǎng)安全新事故：智能玩具導(dǎo)致超過200萬(wàn)父母與兒童語(yǔ)音信息外泄 - E安全

近年來，無數(shù)事例給我們帶來的教訓(xùn)在于，所謂物聯(lián)網(wǎng)產(chǎn)品的安全性非常糟糕，以至于將其接入互聯(lián)網(wǎng)不會(huì)帶來任何好處。隨著此次CloudPets的淪陷，互聯(lián)網(wǎng)接入型玩具在成為重大安全隱患的道路上又邁出了致命的一步。

智能玩具物聯(lián)網(wǎng)