Több mint 820 000 fiók adatai és 2,2 millió rögzített üzenet vált elérhetővé a Shodan keresőjén keresztül, amelyek a mobilalkalmazásokkal párosítható plüssállatokon át, a Spiral Toys által gyártott CloudPets játékokból szivárogtak ki - hívta fel a figyelmet Troy Hunt biztonsági kutató egy részletes blogbejegyzésben. A probléma karácsony környékén derült ki, mikor sokan vásároltak ajándékba a gyerekeknek a plüssállatból, és többen figyelmesek lettek a sebezhetőségére. A gyártót azonban senkinek nem sikerült eddig elérni, és bár a nyomok arra utalnak, hogy a cég értesült a szivárgásról, az egyáltalán nem tájékoztatta erről a vásárlókat.

A plüssállatokhoz mobilalkalmazás is tartozik, így a szülők vagy más rokonok az appban üzenetet küldhetnek, amelyet a gyerek a ClouPets-en keresztül hallgathat meg, és válaszolhat is rájuk. A rendszer a szülők és gyerekek között váltott hangüzeneteket audiofájlokban tárolja a weben, így részben ezek is hozzáférhetővé váltak a támadóknak. Egyik problémát az jelentette, hogy ezekhez a játékokhoz kapcsolt mobilalkalmazásokhoz semmilyen jelszó erősségi szabály nem tartozott, így akár egy "a" betűvel is be lehetett lépni az appba - a visszafejtett adatbázisból látszik, hogy a felhasználók többsége élt ezzel a helyzettel, legtöbben a "password", az "123456" és a "cloudpets" jelszavakat alkalmazták.

Ezen kívül a cég a felhasználói adatokat MongoDB-ben tárolta, amely autentikáció nélkül elérhető volt, és a Shodan keresője indexálta is az adatokat. Így összesen két 10GB-os adatbázis is nyilvánosságra került, az egyik "cloudpets-staging", a másik pedig "clouspets-test" címmel, mindkettő valós vásárlói adatokkal. Nem tudni, hogy az adatok mióta lehettek már nyilvánosak és mióta keringtek a weben keresztül, de mint kiderült, a CloudPets készítőit többen is próbálták figyelmeztetni a súlyos sebezhetőségre, de az oldalon megadott e-mailcím és más nyilvánosan megtalálható elérhetőség sem működött.

Először csak az adatbázis egy részlete került a biztonsági kutatóhoz, aki könnyen meg tudott győződni a kiszivárgott adatok hitelességéről, amely regisztrációs időbélyeget, e-mail címet és bcrypt hash titkosítással ellátott jelszót tartalmazott. Hunt azt is megállapította az adatbázis alapján, hogy az alkalmazás a feltöltött képeket és hangüzeneteket Amazon S3-ba menti, ahonnan szintén bármilyen jóváhagyás nélkül kiolvasható, amennyiben a felhasználó ismeri a fájl pontos helyét. Ráadásul ezeken keresztül azt is meg lehet tudni, hogy a képek és hangüzenetek feltöltését a felhasználók honnan indították, tehát így a gyerekek könnyen teljesen lenyomozhatóvá válnak.

Később az adatbázist törölték, és három különböző zsarolóvírus nyomai jelentek meg helyette. Végül pedig a korábban nyilvánosan hozzáférhető adatbázisok teljesen eltűntek, amelynek az lehet az oka, hogy a gyártó értesült a sebezhetőségről és a problémáról, ezért megváltoztatta a biztonsági beállításokat. Erről viszont semmilyen üzenetet nem küldött a felhasználóinak, akik így nem értesültek arról, hogy az adataikhoz illetéktelenek is hozzáférhetnek, és akár a gyerekkel egymásnak hagyott üzeneteiket is meghallgathatják.

A Spiral Toys a napokban levelet küldött, melyben próbálja tisztázni, hogy mikor értesült a MongoDB szerver biztonsági problémáiról, akkor biztonsági intézkedéseket tett, de félrevezetőnek tartja azokat a híreket, amelyek több mint 2 millió hangüzenet kiszivárgásáról szólnak, mivel a cég tudomása szerint ehhez és a képekhez sem fértek hozzá a támadók, és csak tesztek futtatásával juthattak hozzá az "egyszerűbb jelszavakhoz". Ígéretet tett, hogy értesíteni fogja 500 ezer körüli felhasználóbázist a történtekről, és erősebb jelszavak megadását fogja kérni - a levél több csúsztatást is tartalmaz, és összességében azt jelzi, hogy a cég próbálná kicsinyíteni az amúgy elég súlyos problémát.

"Ez egy tökéletes példa arra, hogy csak azért, mert egy eszköz csatlakoztatható az internethez, nem azt jelenti, hogy meg is kell tenni" - fűzte hozzá Steven Malone, a Mimecast biztonsági termékeinek igazgatója. A CloudPets szivárgási problémája több dologra is felhívja a figyelmet a témával kapcsolatban, kezdve a felhasználók jelszóválasztási szokásaitól kezdve az egyáltalán nem biztonságosan tárolt adatokon át a gyártó felelősségéig a problémák folyamatos figyelemmel követésében, és a vásárlók megfelelő tájékoztatásában.