Abo
  • Services:
Anzeige
Ein Kuscheltier aus der Cloudpets-Reihe
Ein Kuscheltier aus der Cloudpets-Reihe (Bild: Spiral Toys)

MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet

Ein Kuscheltier aus der Cloudpets-Reihe
Ein Kuscheltier aus der Cloudpets-Reihe (Bild: Spiral Toys)

Spielzeug aus der Cloudpets-Reihe zeichnet die Stimmen der Kinder auf. Wem das nicht schon zu gruselig ist, der dürfte sich spätestens über die offene MongoDB-Datenbank aufregen. 800.000 Nutzer mit über 2 Millionen Sprachsamples sind betroffen.

Nach Sicherheitslücken bei Hello Barbie und dem umstrittenen Verbot der Puppe Cayla gibt es erneut Aufregung um vernetztes Kinderspielzeug mit Sicherheitsproblemen. Betroffen ist ein Teddy der Firma Spiral Toys, der mit Kindern diskutieren kann. Leider entschied sich der Hersteller des Teddys dazu, sämtliche Account-Daten in einer offenen MongoDB-Datenbank abzulegen, wie der Sicherheitsforscher Troy Hunt berichtet.

Anzeige

MongoDB-Datenbanken werden immer wieder falsch konfiguriert und ermöglichen dann den unbegrenzten Zugriff auf die Daten. Mittlerweile haben Erpresser die ungesicherten Datenbanken als Geschäftsmodell erkannt. Im Falle von Cloudpets fanden sich Daten zu 800.000 Accounts.

Außerdem wurden Sprachsamples der Nutzer, in den meisten Fällen also von Kindern, abgelegt. Nach Angaben von Hunt enthält die Datenbank Verweise auf fast 2,2 Millionen solcher Audiodateien. Hunt testete die Funktion der App selbst und konnte eine von ihm aufgenommene Audio-Datei auf einer AWS-Instanz finden, der Link ist bis heute zugänglich.

  • In der Datenbank waren etwa 800.000 Accounts gespeichert. (Bild: Troy Hunt)
  • Cloudpets kann über eine Smartphone-App gesteuert werden. (Bild: Troy Hunt)
  • Es gibt sehr viele sehr einfache Passwörter. (Bild: Troy Hunt)
  • Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)
Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)

Der Betreiber der Webseite wurde Hunt zufolge bereits Ende Dezember auf die verwundbare Datenbank aufmerksam gemacht, reagierte aber nicht. Offenbar erfolgten Hinweise von mindestens drei Personen, auf die das Unternehmen nicht antwortete. Neben Hunt fragten ein Nutzer sowie der Motherboard-Journalist Lorenzo Franceschi-Bicchierai bei dem Unternehmen an.

Ebenfalls ungewöhnlich: Unter derselben IP-Adresse waren sowohl ein Test- als auch das Livesystem gehostet, wobei beide Instanzen offenbar vollen Zugriff auf die Nutzerdaten hatten. Die Datenbanken hatten jeweils eine Größe von 10 GByte.

123456 ist ein super Passwort! 

eye home zur Startseite
User_x 01. Mär 2017

Tutorial vs. Sachbuch. Letztendlich bekommt man nicht mal in teuren Sachbüchern alle...

theonlyone 01. Mär 2017

Die Sache mit langfristigen Kosten ist eben, im Zweifel läuft es lange (oder ewig) ohne...

Prypjat 01. Mär 2017

Kinder verstehen sowas sehr schnell. ^^ Man sollte nicht denken, wie schlau Kinder schon...

Muhaha 01. Mär 2017

Und wenn die Vorstände/Geschäftsführer dann erfahren, was jemand kostet, der sich...

ElMario 28. Feb 2017

Nett, ich war "damals" schon überrascht, wie ich die SD Karte eines Schlafapnoe Gerätes...



Anzeige

Stellenmarkt
  1. MEMMERT GmbH + Co. KG, Schwabach (Metropolregion Nürnberg)
  2. Experis GmbH, Kiel
  3. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. STAHLGRUBER GmbH, Poing, Raum München


Anzeige
Blu-ray-Angebote
  1. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Data Center-Modernisierung für mehr Performance und


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Re: Dann soll man doch bitte o2 free abschaffen

    thbth | 01:05

  2. 20kW Leistung... was ein Witz sowas überhaupt...

    Käx | 01:01

  3. Re: Unix, das Betriebssystem von Entwicklern, für...

    Nebucatnetzer | 00:44

  4. Re: Ubisoft Trailer...

    marcelpape | 00:41

  5. Re: Das Auto steht eigentlich doch eh nur rum...

    Vollbluthonk | 00:40


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel