Menu

Japan Week Spokane

Un ours en peluche effrayant attrapé des conversations privées de fuite des enfants en ligne

Spiral Toys, le fabricant des CloudPets de la gamme SmartToy, a laissé plus de 800 000 identifiants de clients, ainsi que deux millions d’enregistrements de messages, totalement exposés en ligne pour que quiconque puisse les voir et les écouter. Certains hackers sont allés jusqu’à bloquer des comptes et les tenir pour une rançon.

Le Teddy Bear connecté à Internet permet aux enfants de communiquer avec des amis et des parents éloignés sans avoir à leur donner leur propre téléphone, bien que les parents doivent télécharger l’application CloudPets sur un téléphone ou une tablette pour connecter l’ours. Les messages peuvent être envoyés et reçus de n’importe où dans le monde. Malheureusement, la base de données utilisée par Spiral Toys n’était pas protégée par un pare-feu ou un mot de passe, ce qui facilitait la recherche à l’aide de Shodan, un moteur de recherche qui expose les sites Web non protégés et les serveurs aux pirates informatiques. L’attaque s’est produite entre Noël de l’année dernière et au moins jusqu’à la première semaine de janvier, et selon Motherboard, au moins deux chercheurs en sécurité et probablement des pirates informatiques malveillants ont pu entrer dans le système. En effet, début janvier, les données de CloudPets ont été écrasées deux fois, selon les chercheurs. (CONNEXES: Obtenez toutes les nouvelles que les médias essaient de vous cacher à Censored.news)

Ceux qui sont capables de pirater le système peuvent désormais accéder à plus de 800 000 courriels et mots de passe. Troy Hunt, un chercheur en sécurité qui a analysé les données CloudsPets, dit qu’une majorité des mots de passe étaient très faibles et faciles à déchiffrer. Pour empirer les choses, Spiral Toys n’a pas encore averti les victimes ni divulgué la violation, même si cela fait presque deux mois que cela s’est produit. Jason Pagel, un étudiant dans un atelier que Hunt a enseigné la semaine dernière, et un père à une fille de 6 ans, ont découvert la brèche par Hunt. «Ma plus grande inquiétude est que quelqu’un puisse utiliser cette information pour envoyer des messages inappropriés à ma fille de 6 ans», a déclaré Pagel à Motherboard par courriel. « [Mes parents] n’enverront certainement plus de messages à leur petite-fille par ce biais. Et bien que je doute que nous jetions le jouet, il a été réduit à un animal en peluche trop cher.

Cette violation reflète les préoccupations qui ont poussé l’Allemagne non seulement à interdire mais à détruire le SmartToy « My Friend Cayla » après que les régulateurs aient décidé que la poupée représentait une menace importante pour la vie privée de ses citoyens. En plus d’être exposé que les informations que Cayla enregistre sont envoyées à une entreprise qui fabrique des logiciels de reconnaissance vocale, ce logiciel de jouets peut être facilement piraté. Le chercheur en sécurité, Ken Munro, de Pen Test Partners, a identifié quelques défauts vitaux dans le logiciel. Selon son compte, Ken, ou n’importe quel hacker d’ailleurs, peut entrer dans le système de Cayla pour modifier les commandes et changer de vocabulaire. Et tout comme CloudPets, Cayla fonctionne également via un système Bluetooth, ce qui signifie que des étrangers pourraient potentiellement se connecter avec les deux jouets et communiquer avec votre enfant.

Le Consumer Privacy Project, un organisme sans but lucratif de Washington qui défend la vie privée des consommateurs, ainsi que de nombreux autres groupes de protection de la vie privée, a déposé une plainte auprès de la Federal Trade Commission au sujet de Cayla et d’autres SmartToys. Idéalement, ils aimeraient que les jouets soient retirés des tablettes aux États-Unis, comme ils l’ont fait en Allemagne et dans d’autres pays européens.