"Умные" плюшевые мишки раскрыли данные 800 тыс. пользователей
28.02.2017
Компания-производитель "умных" плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями, не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей и 2 млн сообщений, сделав их доступными через интернет любому желающему.
В течение как минимум двух недель в декабре-январе данные владельцев игрушек CloudPets производства компании Spiral Toys хранились в БД MongoDB, незащищенной паролем или межсетевым экраном. Базу легко можно было найти с помощью поисковой системы Shodan, сообщает издание Motherboard со ссылкой на ряд исследователей безопасности.
Незащищенными оказались более 800 тыс. логинов и паролей, хешированных с помощью bcrypt. Данная криптографическая хеш-функция считается надежной, однако многие пароли оказались настолько слабыми, что взломать их вполне реально, сообщил ИБ-эксперт Трой Хант (Troy Hunt).
Пока БД оставалась незащищенной, к ней получили доступ по крайней мере два исследователя, а возможно, и хакеры. По словам экспертов, в начале января, когда киберпреступники активно сканировали интернет на наличие открытых MongoDB с целью заражения их вымогательским ПО, данные CloudPets перезаписывались дважды.
