Каждая новая информация об утечке данных укрепляет в нас убеждение, что Вы не можете доверять производителям, если речь идёт о безопасности нас и наших детей. Давайте рассмотрим несколько примеров, чтобы проверить, какие неприятные сюрпризы могут скрывать себе умные игрушки.
Шпионаж за детьми
В декабре 2016 года защитники конфиденциальности подали жалобу в Федеральную торговую Комиссию США по поводу Genesis Toys – производителя кукол Кайл и роботов i-Que. Затем подали в суд на компанию Nuance Communications, отвечающую й за технологию распознавания речи, которая позволяет общаться детям с игрушками.
Проверим обоснованность этой жалобы:
- Приложение, которое куклы Кайла используют для взаимодействия, требует доступа к файлам, сохраненным на устройстве, а приложение роботов i-Que требует доступа к камере устройства. Производитель не объяснил, почему приложения требуют этих прав. Более того, требование, связанное с доступом к камере, не упоминается ни на официальном сайте, ни в фильме с презентацией.
- Для соединения со смартфоном или планшетом игрушки используют Bluetooth, то есть незащищенное соединение, которые не требуют авторизации. Кроме того, игрушки не сообщают когда пользователь соединяется с устройством. Эта уязвимость в безопасности может помочь чужому человеку не только подслушивать ребенка, но и говорить с ним.
- Игрушки рекламируют другие марки во время «разговора».
- Приложение для куклы Кайл спрашивает у детей сведения, которые позволяют идентифицировать: имена родителей, место жительства, школу и т.д.
- Оба приложения отправляют записи разговоров на сервера компании Nuance Communication, где анализируются для доработки ответов. Записи хранятся на серверах.
- Производители не объясняют достаточно полно, какие данные собирают о детях.
Возможности «шпионской игрушки» компании Genesis Toys побудили немецкие регулирующие органы к выпуску полного запрета на их продажу. Немецкое правительство классифицировало такие игрушки в качестве устройства для скрытого наблюдения, которые законом запрещены.
В декабре 2016 года Совет по Защите прав Потребителей в Норвегии, также выразил свою озабоченность в связи с нарушением конфиденциальности куклами Кайла и роботами i-Que.
С другой стороны британская ассоциации производителей игрушек заявила в интервью радиостанции BBC, что куклы Кайла «не представляют особой угрозы».
Отсутствие безопасности в игрушках
В другом инциденте, связанным со слово «утечка», даже сложно описать масштаб события. Это был катастрофический прорыв в брандмауэрах, который вызвал наводнение и даже потоп данных. А говоря точнее: плотин этих не было вовсе.
CloudPets – плюшевые животные компании Spiral Toys, которые позволяют обмениваться сообщениями между детьми и родителями. Игрушка соединяется со смартфоном через Bluetooth, а на устройстве необходимо установить специальную программу.
Может быть, это довольно неплохой способ оставаться с ребенком на связи, тем не менее, контент собирается через не защищенную систему. Более того, база данных, содержащая идентификационные данные пользователей не была защищена вообще: каждый человек может соединиться с сервером без аутентификации и получить доступ к этим данным, а также скопировать их и сохранить на другом компьютере.
Эту проблему заметил исследователь безопасности Виктор Геверс и сообщил о ней производителю 31 декабря 2016 года. Тогда Трой Хант, известный эксперт по вопросам безопасности, получил от анонимного источника файл, содержащий более полумиллиона записей пользователей CloudPets. Кроме имен детей в каждой записи была их дата рождения и информация о родственниках, с которыми разговаривали через игрушку. Число взломанных записей пользователей CloudPets составила более 800 тысяч.
Человек, который получит ваш пароль, сможет получить все сообщения, отправленные через игрушку. Хэширование обеспечивает определенную степень защиты паролей, но не от атак силовыми методами (особенно в случае слабых паролей).
К сожалению, также возможно прослушивание разговора без наличия пароля. Как оказалось, записи и изображения хранились в облаке Amazon S3. Чтобы скачать звуковой файл с сервера, злоумышленник должен был только нажать на ссылку. Доступных записей было более 2 миллионов.
Конечно, об этих уязвимостях узнали преступники. На сервере, на котором находились данные детей навели беспорядок, а копии данных были удалены и появилось требование выкупа. В конечном счете, базу данных удалили, хотя могут существовать какие-либо её копии.
Компания Spiral Toys не отвечала людям, которые уведомляли её о проблеме, в том числе Геверсу, а также репортеру Лоренцо Франчеши-Бичериа. Затем в марте 2017 года Сенат США потребовал от Spiral Toys объяснений по поводу утечки данных. Текст этого заявления был опубликован Троем Хантом.
Spiral Toys, наконец, взял слово по этому вопросу, – ответил генпрокурору в Калифорнии. Сервис DataBreaches.net опубликовал этот ответ. Компания призналась, что узнала о происшествии 22 февраля Лоренцо Франчеши-Бичериа, который, в свою очередь, получил информацию об утечке от неизвестного человека. Хотя многие исследователи безопасности пытались связаться с компанией до 22 февраля, Spiral Toys уверяли, что никогда не получали таких сообщений.
Утечка, как указала компания Spiral Toys, был частью массовой атаки на объекты системы MongoDB в интернете. По данным компании, нападение не коснулось голосовых сообщений и фотографий, потому что они хранятся на другом сервере. Между тем, атакованная база данных была временная и использовалась разработчиками.
Открытые базы данных
Другая значительная утечка касалась базы, принадлежащей официальному сайту компании, связанной с игрушками Hello Kitty (взломано 3300000 записей пользователей), а также базы данных интернет-магазина VTech (взломано 5500000 записей пользователей и огромное количество фотографий детей). Оба инциденты произошли в 2015 году.
Сервис CloudPets и разработчики сайта Hello Kitty использовали решение для управления базами данных MongoDB, которое попало на первые страницы СМИ после того, как хакеры атаковали (а точнее полностью захватили) серверы с десятками тысяч баз данных.
Владельцы изъятых баз могут быть в такой ситуациями жертвами, но несут также свою долю вины. Не наложив требований авторизации, MongoDB оставил двери доступа к базе открытыми. В свою очередь, производители также показали свое отношение к безопасности, используя открытые базы.
Конечно, MongoDB не является единственной проблемой – требует улучшения общее состояние безопасности.
После взлома MongoDB хакеры начали массированную атаку на распределенные системы управления базами данных. Каждая неадекватно защищенная база будет когда-нибудь доступна публично, а обычный пользователь не сможет с этим ничего сделать. Не является утешением то, что утечка коснулась лишь временной, вспомогательной базы данных, если данные были верны. Закрытие взломанной системы не решит главную проблему – персональные данные не смогут вновь стать частными.
Советы для родителей
Предлагая ребенку игрушку, сохраняйте рассудительность. Особенно обратите внимание на следующие аспекты:
- Игрушка отправляет данные в интернет? Много игрушек так делает, и эта тенденция начинает охватывать даже самые обычные мягкие игрушки.
- Можете ли вы контролировать действия игрушки? Куклы Кайла имели индикатор, сообщающий о включении микрофона. Если же речь идет о мобильных приложениях, вы можете даже не иметь понятия о таких действиях.
- Игрушка имеет микрофон и камеру? Это касается не только передовых мишек и роботов – к этой категории относятся также мобильные приложения с соответствующими полномочиями.
- Игрушка запрашивает у ребенка личную информацию?
- Доступны ли настройки защиты? Например, Bluetooth-соединение не требует авторизации.
Если Вас смутил хотя бы один из вышеперечисленных пунктов, подумайте над границей между весельем и уютом вашего ребенка.