泰迪熊智能玩具泄露数百万音频信息和用户密码

正打算给自家小孩买可联网玩具或智能玩具的家长请注意，你可能需要三思而后行了，这些诡异的玩具会给小朋友们带来一些潜在的隐私和数据安全风险。

最近可联网的泰迪熊玩具就被爆发生严重安全事件，超过200万儿童与父母之间的语音信息被泄露，同时暴露的还有超过82万用户的邮箱和密码。

这些被称为CloudPets的联网玩具来自美国California的玩具生产商Spiral Toys，CloudPets是Spiral Toys的一个子品牌，这些玩具有一个功能就是允许儿童和亲属之间收发语音信息，最终导致这些音频数据和用户的私人信息成为了入侵者的目标。

其实类似事件并不是第一次发生，在差不多一年前有一家叫做VTech的中国香港玩具制造商也遭遇了大规模的用户数据泄露，涉及全世界范围内640万儿童和其父母的照片以及聊天记录被窃取。

更过分的是，在入侵者在非法获取这些数据之后，将其作为勒索的资本，而且就目前所知，数据库已经被删除过3次并收到过3次不同的勒索信息，分别是“PWNED_SECURE_YOUR_STUFF_SILLY,” “README_MISSING_DATABASES”和”PLEASE_READ”。

被勒索的Cloudpets

据2月28日安全专家Troy Hunt在blog上发布的文章中曝光，Shodan搜索引擎等证据显示，在2016年12月25日至2017年1月8日之间，Cloudpets智能玩具的用户数据就存储在一个没有任何密码或防火墙防护的公共数据库中。

Hunt还提到，在此期间有许多第三方组织或个人访问了这个数据库，其中就有黑客从Cloudpets的数据库窃取了用户的邮箱和hash密码。

被窃账户超过200万

Hunt在Twitter了发布了基本的被窃信息，其中包括玩具录的音、MongoDB泄露的数据、220万账户语音信息、数据库勒索信息等。

事实上，在一月初MongoDB被屠戮，多个数据库遭到入侵、勒索的时候，Cloudpets就已经被重写两次了。Cloudpets的数据库是托管给一家叫做mReady的罗马尼亚公司，这家公司和Spiral Toys之间存在合同关系。

mReady将那些语音信息存储在开放的MongoDB数据库里，MongoDB使用的是开放式亚马逊云服务器（Amazon S3），不需要任何身份验证就能访问。

被窃数据包括用户配置文件图片、儿童姓名和他们父母、亲人和朋友的部分信息。

这就意味着任何不怀好意的人只要得到正确的URL都可以听到这些语音信息。

被玩具制造商无视的危机

其实Cloudpets早就已经意识到了数据的安全问题，但是依旧选择不作为，完全不考虑用户的隐私可能受到侵犯。当然，作为玩具制造商的Spiral Toys也好不到哪去。

Spiral Toys的CEO就直接否认了数据泄露的事实：“用户的语音信息被窃取？绝对不可能。”

除了Hunt，GDI Foundation的Victor Gevers和一些安全专家都发现了Cloudpets数据库被泄露的信息，并且曾试图在12月底里联系玩具制造商。

但是这家公司很难被联络到，也拒绝对这些给他们发起警告的安全专家进行回应。

直到上周Vice Media的记者就此事件联系到公司之后他们才开始承认数据可能是存在一些小问题（minimal issue）。但是只有入侵者想办法搞到用户的密码才能访问他们的语音信息。

好的一点是，用户的密码都是用bcrypt算法来hash的，这就能保证密码很难被攻破。

但不幸的是，Cloudpets对密码设置没有任何要求，用户甚至可以用一个字母a来作为密码，所以入侵者只要用一些常用密码“qwerty或123456等”进行撞库，就能破解很多用户账号。

据说制造商一共收到了4次警告，宣称用户数据就那么挂在网上，没有任何防护措施导致任何有心人士都能轻易获取，但结果是数据依然没有人管，并且时间超过一个星期，还有证据证明在此期间数据被多次窃取。

搞笑的是，从2015年开始就未更新过的Cloudpets博客到现在为止还未发出任何安全警示，用户依然没有得到任何提醒。

Hunt提到：“Cloudpets可能一开始不知道的有两点，其一是数据库处于一种公开状态，其二是有恶意团体能访问这些数据。”“很明显，虽然他们已经更改了系统的安全配置文件但也不能改变勒索造成的损失，所以无论是被暴露的数据库还是被入侵并勒索，这些才最容易成为头条，引起关注。”

防治手段

家长应该提高忧患意识，在之后给小孩买任何可联网智能玩具之前，三思而后行。

如果你有Cloudpets账号，建议你通过 Have I Been Pwned?来查一下账号是否已经泄露，这个网站包括目前所有Spiral Toys泄露的用户数据。

如果不幸中招，要先修改账号密码，同时最好断开玩具和互联网的连接。

最终的建议是，以防万一，最好把跟Cloudpets使用同样密码的其他账户的密码都更换掉。

Cloudpets噩梦第二弹

CloudPets噩梦并没有结束的迹象，根据最新消息，智能玩具的蓝牙Web API可能存在被远程入侵的风险。

具体的说，这些玩具有这样一个功能，会允许网页在无需任何认证的情况下通过蓝牙连接玩具，这样网页就能够控制玩具并且利用玩具的麦克风录音。这个功能还可以被用来播放音频信息。

所以，这种不安全的API实现会允许入侵者远程窃听拥有这种智能玩具的家庭。他们只需要一部手机、一个网页，然后蓝牙匹配最近的智能玩具，开始实施窃听。

Context Information安全公司的研究人员提到，他们在之前CloudPets数据泄露时间曝光的时候正在调查WEB蓝牙的问题。不过现在这个调查已被叫停，作为玩具制造商的Spiral Toys将会面临更多谴责。

报告中提到：“当用户初次使用Cloudpets官方应用时，需要点击一个‘证实’按钮来完成配置。一开始我以为这是某种安全机制，但事实证明这个玩具什么都不需要”。“当用户第一次配置玩具的时候，Cloudpets应用会执行一个固件更新，而这个固件的文件存在于APK中。只有确认经过CRC（循环冗余码校验）16校验，这个固件才会进行加密，因此远程修改玩具的这个固件是完全有可能的。”

研究人员还指出只要蓝牙处于可连接状态并且尚未匹配，那么任何人都可以连上这个玩具。因为典型的蓝牙可连接范围在10到30米之间，所以入侵者可以在别人家门口就链接玩具，利用麦克风实施上传或下载语音信息的行为。

到目前为止，这个智能玩具背后的公司还有更多东西值得深挖。