MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet

Spielzeug aus der Cloudpets-Reihe zeichnet die Stimmen der Kinder auf. Wem das nicht schon zu gruselig ist, der dürfte sich spätestens über die offene MongoDB-Datenbank aufregen. 800.000 Nutzer mit über 2 Millionen Sprachsamples sind betroffen.

Artikel veröffentlicht am ,
Ein Kuscheltier aus der Cloudpets-Reihe
Ein Kuscheltier aus der Cloudpets-Reihe (Bild: Spiral Toys)

Nach Sicherheitslücken bei Hello Barbie und dem umstrittenen Verbot der Puppe Cayla gibt es erneut Aufregung um vernetztes Kinderspielzeug mit Sicherheitsproblemen. Betroffen ist ein Teddy der Firma Spiral Toys, der mit Kindern diskutieren kann. Leider entschied sich der Hersteller des Teddys dazu, sämtliche Account-Daten in einer offenen MongoDB-Datenbank abzulegen, wie der Sicherheitsforscher Troy Hunt berichtet.

Inhalt:
  1. MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet
  2. 123456 ist ein super Passwort!

MongoDB-Datenbanken werden immer wieder falsch konfiguriert und ermöglichen dann den unbegrenzten Zugriff auf die Daten. Mittlerweile haben Erpresser die ungesicherten Datenbanken als Geschäftsmodell erkannt. Im Falle von Cloudpets fanden sich Daten zu 800.000 Accounts.

Außerdem wurden Sprachsamples der Nutzer, in den meisten Fällen also von Kindern, abgelegt. Nach Angaben von Hunt enthält die Datenbank Verweise auf fast 2,2 Millionen solcher Audiodateien. Hunt testete die Funktion der App selbst und konnte eine von ihm aufgenommene Audio-Datei auf einer AWS-Instanz finden, der Link ist bis heute zugänglich.

  • In der Datenbank waren etwa 800.000 Accounts gespeichert. (Bild: Troy Hunt)
  • Cloudpets kann über eine Smartphone-App gesteuert werden. (Bild: Troy Hunt)
  • Es gibt sehr viele sehr einfache Passwörter. (Bild: Troy Hunt)
  • Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)
Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)

Der Betreiber der Webseite wurde Hunt zufolge bereits Ende Dezember auf die verwundbare Datenbank aufmerksam gemacht, reagierte aber nicht. Offenbar erfolgten Hinweise von mindestens drei Personen, auf die das Unternehmen nicht antwortete. Neben Hunt fragten ein Nutzer sowie der Motherboard-Journalist Lorenzo Franceschi-Bicchierai bei dem Unternehmen an.

Ebenfalls ungewöhnlich: Unter derselben IP-Adresse waren sowohl ein Test- als auch das Livesystem gehostet, wobei beide Instanzen offenbar vollen Zugriff auf die Nutzerdaten hatten. Die Datenbanken hatten jeweils eine Größe von 10 GByte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
123456 ist ein super Passwort! 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Kinderspielzeug
Vtech zahlt 650.000 Dollar Strafe für Datenschutzverstöße
artikel-bild
Spielzeug
Laser Tag mit Harry-Potter-Zauberstäben
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
Meistgelesen
artikel-bild
Elektrische G-Klasse angeschaut
Wendig wie ein Panzer, schwerer als ein Rolls Royce
artikel-bild
Rennelektroauto
Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit
artikel-bild
Windows
Smart-TV bringt Computer zum Absturz
Kommentarübersicht
Re: Immer wieder MongoDB
User_x 01. Mär 2017

Tutorial vs. Sachbuch. Letztendlich bekommt man nicht mal in teuren Sachbüchern alle...

Re: Agenturen...
theonlyone 01. Mär 2017

Die Sache mit langfristigen Kosten ist eben, im Zweifel läuft es lange (oder ewig) ohne...

Re: Zu: Nachtrag
Prypjat 01. Mär 2017

Kinder verstehen sowas sehr schnell. ^^ Man sollte nicht denken, wie schlau Kinder schon...

Re: Wie sichern diese Firmen ihre Netze ab!?
Muhaha 01. Mär 2017

Und wenn die Vorstände/Geschäftsführer dann erfahren, was jemand kostet, der sich...

Aktuell auf der Startseite von Golem.de
Rennelektroauto
Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit

Tesla hat das Model 3 Performance vorgestellt, das eine Systemleistung von 340 kW und eine Höchstgeschwindigkeit von 262 km/h bietet.

Rennelektroauto: Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit
Artikel
  1. Windows: Smart-TV bringt Computer zum Absturz
    Windows
    Smart-TV bringt Computer zum Absturz

    Über Jahre sind bei der Sound-Designerin Priscilla Snow immer mehr Funktionen ihres PCs ausgefallen, bis er fast unbrauchbar war. Als Übeltäter hat sich ihr Hisense-Fernseher herausgestellt.

  2. Entwicklung und Architekturplanung mit AWS
     
    Entwicklung und Architekturplanung mit AWS

    AWS ist bekannt als eine stabile, skalierbare und wirtschaftliche Umgebung für die schnelle Entwicklung und Implementierung von Web-Anwendungen. Diese Onlinekurse bieten eine praxisorientierte Einführung in die Nutzung von AWS.
    Sponsored Post von Golem Karrierewelt

  3. Elektrische G-Klasse angeschaut: Wendig wie ein Panzer, schwerer als ein Rolls Royce
    Elektrische G-Klasse angeschaut
    Wendig wie ein Panzer, schwerer als ein Rolls Royce

    Der elektrische G 580 von Mercedes-Benz ist so schwer wie der Cybertruck. Zwar beherrscht der Geländewagen eine Panzerwende, kann aber noch keinen Anhänger ziehen.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Galaxy S23 400€ günstiger • MindStar: Radeon-Grafikkarten zu Tiefstpreisen • Alternate: Asus Gaming-Laptop 899€ statt 1.599€ • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /