28 feb. 2017

Fuga de datos de CloudPets, con conversaciones de menores

Hace algunas horas se daba a conocer un ataque informático contra CloudPets, un juguete capaz de conectarse a Internet a través de Android y iOS con el fin de poder intercambiar mensajes de voz entre amigos. Además, gracias al micrófono incluido en el juguete, los niños pueden enviar mensajes a sus padres o madres, así como a la inversa, facilitando la comunicación cuando los padres no pueden estar cerca.

Todos estos mensajes se almacenaban en los servidores de la compañía, sin cifrar ni proteger de ninguna manera y, como era de esperar, al final ha ocurrido lo inevitable.

CloudPets almacenaba las grabaciones de los menores en un servidor sin autenticación

Un ataque informático, del cual aún no se conocen muchos datos, ha conseguido robar más de dos millones de grabaciones de voz, junto a una serie de datos sobre los menores registrados en la plataforma. Según se cree, este robo ha podido ser posible debido a que la compañía responsable de CloudPets utilizaba una base de datos MongoDB mal configurada.

Esta base de datos utilizaba el puerto 2701 en su correspondiente dirección IP y, al intentar conectarse a ella, no pedía ningún tipo de autenticación. Esta base de datos contenía enlaces a las grabaciones, en formato WAV, sin cifrar, de los menores y sus padres en un servidor Amazon Cloud, de nuevo sin autenticación. Un sencillo script ha conseguido descargar más de dos millones de grabaciones con las conversaciones familiares y privadas de los menores.

El delincuente responsable de este robo de datos pide un rescate a la compañía a cambio de no hacerlos público. De todas formas, este rescate no tiene demasiado valor, ya que el servidor ha estado abierto desde sus inicios, por lo que cualquier otra persona puede haber entrado, descargado los datos y salido sin dejar una sola pista.

Troy Hunt, responsable de la plataforma HaveIBeenPwned, ya ha subido a su base de datos este robo, confirmando así que los dos millones de grabaciones corresponden en total a más de 800.000 cuentas diferentes.

Fuente: RedesZone | Troy Hunt

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!