MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet

Spielzeug aus der Cloudpets-Reihe zeichnet die Stimmen der Kinder auf. Wem das nicht schon zu gruselig ist, der dürfte sich spätestens über die offene MongoDB-Datenbank aufregen. 800.000 Nutzer mit über 2 Millionen Sprachsamples sind betroffen.

Artikel veröffentlicht am ,
Ein Kuscheltier aus der Cloudpets-Reihe
Ein Kuscheltier aus der Cloudpets-Reihe (Bild: Spiral Toys)

Nach Sicherheitslücken bei Hello Barbie und dem umstrittenen Verbot der Puppe Cayla gibt es erneut Aufregung um vernetztes Kinderspielzeug mit Sicherheitsproblemen. Betroffen ist ein Teddy der Firma Spiral Toys, der mit Kindern diskutieren kann. Leider entschied sich der Hersteller des Teddys dazu, sämtliche Account-Daten in einer offenen MongoDB-Datenbank abzulegen, wie der Sicherheitsforscher Troy Hunt berichtet.

Inhalt:
  1. MongoDB: Sprechender Teddy teilte alle Daten mit dem Internet
  2. 123456 ist ein super Passwort!

MongoDB-Datenbanken werden immer wieder falsch konfiguriert und ermöglichen dann den unbegrenzten Zugriff auf die Daten. Mittlerweile haben Erpresser die ungesicherten Datenbanken als Geschäftsmodell erkannt. Im Falle von Cloudpets fanden sich Daten zu 800.000 Accounts.

Außerdem wurden Sprachsamples der Nutzer, in den meisten Fällen also von Kindern, abgelegt. Nach Angaben von Hunt enthält die Datenbank Verweise auf fast 2,2 Millionen solcher Audiodateien. Hunt testete die Funktion der App selbst und konnte eine von ihm aufgenommene Audio-Datei auf einer AWS-Instanz finden, der Link ist bis heute zugänglich.

  • In der Datenbank waren etwa 800.000 Accounts gespeichert. (Bild: Troy Hunt)
  • Cloudpets kann über eine Smartphone-App gesteuert werden. (Bild: Troy Hunt)
  • Es gibt sehr viele sehr einfache Passwörter. (Bild: Troy Hunt)
  • Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)
Der Hersteller reagierte auf viele Hinweise nicht. (Bild: Troy Hunt)

Der Betreiber der Webseite wurde Hunt zufolge bereits Ende Dezember auf die verwundbare Datenbank aufmerksam gemacht, reagierte aber nicht. Offenbar erfolgten Hinweise von mindestens drei Personen, auf die das Unternehmen nicht antwortete. Neben Hunt fragten ein Nutzer sowie der Motherboard-Journalist Lorenzo Franceschi-Bicchierai bei dem Unternehmen an.

Ebenfalls ungewöhnlich: Unter derselben IP-Adresse waren sowohl ein Test- als auch das Livesystem gehostet, wobei beide Instanzen offenbar vollen Zugriff auf die Nutzerdaten hatten. Die Datenbanken hatten jeweils eine Größe von 10 GByte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
123456 ist ein super Passwort! 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Kinderspielzeug
Vtech zahlt 650.000 Dollar Strafe für Datenschutzverstöße
artikel-bild
Spielzeug
Laser Tag mit Harry-Potter-Zauberstäben
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
Meistgelesen
artikel-bild
Point-to-Multipoint
Swisscom muss wegen Netztopologie Millionenstrafe zahlen
artikel-bild
Opendesk vom Zendis ausprobiert
Ein Web-Desktop für die Verwaltung
artikel-bild
Rheinmetall
Köln testet Ladebordsteine in der Praxis
Kommentarübersicht
Re: Immer wieder MongoDB
User_x 01. Mär 2017

Tutorial vs. Sachbuch. Letztendlich bekommt man nicht mal in teuren Sachbüchern alle...

Re: Agenturen...
theonlyone 01. Mär 2017

Die Sache mit langfristigen Kosten ist eben, im Zweifel läuft es lange (oder ewig) ohne...

Re: Zu: Nachtrag
Prypjat 01. Mär 2017

Kinder verstehen sowas sehr schnell. ^^ Man sollte nicht denken, wie schlau Kinder schon...

Re: Wie sichern diese Firmen ihre Netze ab!?
Muhaha 01. Mär 2017

Und wenn die Vorstände/Geschäftsführer dann erfahren, was jemand kostet, der sich...

Aktuell auf der Startseite von Golem.de
Rheinmetall
Köln testet Ladebordsteine in der Praxis

Rheinmetall und die Stadt Köln haben den Startschuss für eine Lade-Infrastruktur in Bordsteinen von Bürgersteigen gegeben.

Rheinmetall: Köln testet Ladebordsteine in der Praxis
Artikel
  1. Schreibende Berufe: Künstliche Intelligenz verändert den Arbeitsmarkt bereits
    Schreibende Berufe
    Künstliche Intelligenz verändert den Arbeitsmarkt bereits

    ChatGPT hat den Arbeitsmarkt in vielen Bereichen stark beeinflusst. Eine Analyse von Onlinejobs zeigt, dass vor allem Schreibberufe betroffen sind.

  2. Quartalszahlen: Google und Microsoft steigern Umsatz trotz und wegen KI
    Quartalszahlen
    Google und Microsoft steigern Umsatz trotz und wegen KI

    Sowohl Microsoft als auch Google vermelden mehr Umsatz und mehr Gewinn.

  3. Per Brute Force: Schwachstelle beim GLS-Tracking legt Empfängeradressen offen
    Per Brute Force
    Schwachstelle beim GLS-Tracking legt Empfängeradressen offen

    Durch einen fehlenden Brute-Force-Schutz isr es möglich gewesen, einer API von GLS genaue Adressdaten der Empfänger von GLS-Paketen zu entlocken.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus OLED-Monitor zum Tiefstpreis • Gigabyte GeForce RTX 4070 Ti zum Tiefstpreis • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Anker USB-Ladegeräte -45% • OLED-TV von LG 54% günstiger • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /