Abo
  • Services:

MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet

Spielzeug aus der Cloudpets-Reihe zeichnet die Stimmen der Kinder auf. Wem das nicht schon zu gruselig ist, der dürfte sich spätestens über die offene MongoDB-Datenbank aufregen. 800.000 Nutzer mit über 2 Millionen Sprachsamples sind betroffen.

Artikel veröffentlicht am ,
Ein Kuscheltier aus der Cloudpets-Reihe
Ein Kuscheltier aus der Cloudpets-Reihe (Bild: Spiral Toys)

Nach Sicherheitslücken bei Hello Barbie und dem umstrittenen Verbot der Puppe Cayla gibt es erneut Aufregung um vernetztes Kinderspielzeug mit Sicherheitsproblemen. Betroffen ist ein Teddy der Firma Spiral Toys, der mit Kindern diskutieren kann. Leider entschied sich der Hersteller des Teddys dazu, sämtliche Account-Daten in einer offenen MongoDB-Datenbank abzulegen, wie der Sicherheitsforscher Troy Hunt berichtet.

Inhalt:
  1. MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet
  2. 123456 ist ein super Passwort!

MongoDB-Datenbanken werden immer wieder falsch konfiguriert und ermöglichen dann den unbegrenzten Zugriff auf die Daten. Mittlerweile haben Erpresser die ungesicherten Datenbanken als Geschäftsmodell erkannt. Im Falle von Cloudpets fanden sich Daten zu 800.000 Accounts.

Außerdem wurden Sprachsamples der Nutzer, in den meisten Fällen also von Kindern, abgelegt. Nach Angaben von Hunt enthält die Datenbank Verweise auf fast 2,2 Millionen solcher Audiodateien. Hunt testete die Funktion der App selbst und konnte eine von ihm aufgenommene Audio-Datei auf einer AWS-Instanz finden, der Link ist bis heute zugänglich.

  • In der Datenbank waren etwa 800.000 Accounts gespeichert. (Bild: Troy Hunt)
  • Cloudpets kann über eine Smartphone-App gesteuert werden. (Bild: Troy Hunt)
  • Es gibt sehr viele sehr einfache Passwörter. (Bild: Troy Hunt)
  • Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)
Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)

Der Betreiber der Webseite wurde Hunt zufolge bereits Ende Dezember auf die verwundbare Datenbank aufmerksam gemacht, reagierte aber nicht. Offenbar erfolgten Hinweise von mindestens drei Personen, auf die das Unternehmen nicht antwortete. Neben Hunt fragten ein Nutzer sowie der Motherboard-Journalist Lorenzo Franceschi-Bicchierai bei dem Unternehmen an.

Stellenmarkt
  1. SYNLAB Holding Deutschland GmbH, Augsburg
  2. Yves Rocher, Stuttgart Vaihingen

Ebenfalls ungewöhnlich: Unter derselben IP-Adresse waren sowohl ein Test- als auch das Livesystem gehostet, wobei beide Instanzen offenbar vollen Zugriff auf die Nutzerdaten hatten. Die Datenbanken hatten jeweils eine Größe von 10 GByte.

123456 ist ein super Passwort! 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. und Far Cry 5 gratis erhalten
  2. 128,15€ + Versand
  3. 249,90€ + Versand (im Preisvergleich über 280€)

User_x 01. Mär 2017

Tutorial vs. Sachbuch. Letztendlich bekommt man nicht mal in teuren Sachbüchern alle...

theonlyone 01. Mär 2017

Die Sache mit langfristigen Kosten ist eben, im Zweifel läuft es lange (oder ewig) ohne...

Prypjat 01. Mär 2017

Kinder verstehen sowas sehr schnell. ^^ Man sollte nicht denken, wie schlau Kinder schon...

Muhaha 01. Mär 2017

Und wenn die Vorstände/Geschäftsführer dann erfahren, was jemand kostet, der sich...

ElMario 28. Feb 2017

Nett, ich war "damals" schon überrascht, wie ich die SD Karte eines Schlafapnoe Gerätes...


Folgen Sie uns
       


Wir fahren den Jaguar I-Pace - Bericht (Genf 2018)

Wir sind den Jaguar I-Pace in Genf probegefahren und konnten ihn trotz nassem Wetter nicht aus der Spur bringen.

Wir fahren den Jaguar I-Pace - Bericht (Genf 2018) Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

Filmkritik Ready Player One: Der Videospielfilm mit Nostalgiemacke
Filmkritik Ready Player One
Der Videospielfilm mit Nostalgiemacke

Steven Spielbergs Ready Player One ist eine Buchadaption - und die Videospielverfilmung schlechthin. Das liegt nicht nur an prominenten Statisten wie Duke Nukem und Chun-Li. Neben Action und Popkulturreferenzen steht im Mittelpunkt ein Konflikt zwischen leidenschaftlichen Gamern und gierigem Branchenriesen. Etwas Technologieskepsis und Nostalgiekritik hätten der Handlung jedoch gutgetan.
Eine Rezension von Daniel Pook

  1. Filmkritik Tomb Raider Starke Lara, schwacher Film
  2. Filmkritik Auslöschung Wenn die Erde außerirdisch wird
  3. Vorschau Kinofilme 2018 Lara, Han und Player One

    •  /