山西麻将玩法|山西麻将下载安装
?

與我們合作

專注信息安全領域產品研發,致力于為政府、軍工等涉密單位及其它企事業單位提供專業的信息安全產品、解決方案、技術顧問咨詢等服務。

有關于信息安全領域及文件加密的問題和我們談談嗎?

您可以填寫右邊的表格,讓我們了解您的項目需求,我們將會盡快與你取得聯系。當然也歡迎您致電我們400電話。

您也可通過下列途徑與我們取得聯系:

地 址:廈門思明區珍珠灣軟件園一期創新大廈B區7樓

電 話:400-666-0170 / 0592-2565820

官 網:www.yrnyu.tw

客戶服務:[email protected]

市場合作:[email protected]

快速提交您的需求 ↓

智能玩具泄露200萬父母與兒童語音信息

發布時間:2019-08-15 來源: 瀏覽次數:1118次

一家互聯網接入型智能動物玩具廠商遭遇數據泄露,敏感客戶,數據庫受到惡意入侵。此次事故外泄的內容包括超過200萬父母與兒童的語音消息,外加超過80萬個帳戶的電子郵箱地址與密碼數據。

根據本周一由Troy Hunt發表的博客文章介紹,這些數據被保存在一套未經密碼保護的公開數據庫當中。他表示曾于去年12月25日到今年1月8日期間利用Shodan計算機搜索引擎及其它證據進行調查分析,最終確定該客戶,數據已經由多方多次進行訪問,其中包括最終掌握該數據并實施勒索的惡意人士。

此次泄露的數據來自Spiral Toys公司,即CloudPets系列動物填充玩具的制造商。這些智能玩具能夠記錄并播放由父母與兒童通過互聯網發出的語音消息。用于容納這些數據的MongoDB數據庫中保存有近220萬條語音記錄,由一家名為mReady的羅馬尼亞企業負責管理——其與Spiral Toys之間似乎保持著合作協議。Hunt指出,人們至少向該玩具制造商發出了四次數據泄露提醒。無論如何,最終勒索方留下的證據表明該制造商的管理層幾乎一定已經了解到此番入侵事件。

{F495A19A-A413-4BA2-8F57-8BDA11442E20}_20190816092124.jpg

這套數據庫目前已可直接訪問,且未經任何密碼保護

Hunt在報告中寫道:

我們很難相信CloudPets(或者mReady)方面此前并未第,一時間了解到情況,但相關數據庫仍持續處于開放狀態并隨后遭到惡意方的訪問。很明顯,惡意人士變更了該系統的安全配置,而廠商則無法忽視對方留下的勒索要求。因此數據庫暴露與勒索行為必然已經被廠商所發現,但其卻從未對此事進行通報。

家長請務必慎重購買使用智能玩具

此次數據泄露進一步引發了人們對于互聯網接入型智能玩具在文件加密隱私及安全性方面薄弱表現的擔憂。2015年11月,技術新,聞網站Motherboard就曾經披露玩具制造商VTech遭遇入侵,近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。就在一個月后,一位研究人員又發現美泰公司生產的互聯網接入型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實時對話。

除了將客戶,數據庫保存在可公開訪問的位置之外,Spiral Toys公司還利用一款未經任何驗證機制保護的Amazon托管服務存儲客戶的個人資料、兒童姓名及其與父母、親屬及朋友間的關系信息。只需要了解文件的所處位置,任何人都能夠輕松獲取到該數據——Hunt表示,文件位置信息亦不難找到。

更奇怪的是,對于安全管理如此寬松的產品,該服務本采用了極為嚴密的bcrypt散列函數進行密碼保護。然而遺憾的是,CloudPets使用了有史以來最為寬松的一項密碼策略。其允許使用任何密碼內容——例如單個字符“a”或者短鍵盤序列“qwe”這樣的密碼設置。

Hunt寫道,“這意味著當我在將bcrypt哈希輸入密碼破解應用hashcat并參照全球使用頻率最,高的密碼詞匯表時(包括‘qwerty’、‘password’以及‘123456’等),我能夠在很短的時間內破解大量密碼。”

近年來,無數事例給我們帶來的教訓在于,所謂物聯網產品的安全性非常糟糕,以至于將其接入互聯網不會帶來任何好處。隨著此次CloudPets的淪陷,互聯網接入型玩具在成為重大安全隱患的道路上又邁出了致命的一步。

推薦新聞

文件加密未防護,全球爆發電腦勒索病毒

2017-05-15

據 BBC 報道,就在一個多小時以前,全球多地爆發一種軟件勒索病毒,英國多家醫院遭到大范圍網絡攻擊,內網...

“特金會晤”期間,新加坡遭遇前所未有的網絡攻擊,88%來自俄羅斯

2018-06-19

隨著美國總統唐納德·特朗普與朝鮮總統金正恩在新加坡的一家酒店舉行會晤,F5實驗室與其數據合作伙伴...

《權力的游戲》未播出劇本遭黑客盜竊,數據泄露未防護!

2017-08-04

據BBC報道,黑客竊取了HBO熱播劇《權力的游戲》未播出的劇本等共計1.5TB的HBO內網數據,其中包括道恩·強森...

報告稱黑客組織APT27通過入侵國家數據中心攻擊中亞國家政府網站

2018-06-19

卡巴斯基實驗室的研究人員在本周三(6月13日)發表的一篇文章中指出,他們在今年3月份發現了一起針...

銀聯云閃付APP邀請鏈接被曝泄漏手機號

2018-02-09

近期很多小伙伴都在參與銀聯云閃付的紅包活動,通過鏈接邀請好友參與活動能夠獲得更多的紅包。而邀請鏈接卻被曝出會泄露手...

Copyright ?2006-2019 廈門天銳科技股份有限公司

在線
客服

在線客服服務時間:24小時

客服
熱線

400-666-0170
0592-2565820
7*24小時客戶服務熱線
點擊上方電話,免費通話

返回
頂部
山西麻将玩法 内蒙古时时彩 录快递单号赚钱现实吗 海南环岛赛车福彩规则 双色球基本走势图体坛网 妙手空空怎么赚钱2016 快速赛车下载安装 黑龙江11选5前三走势图 湖北快3形态走势一定牛 映客直播点亮能赚钱吗 3D急速赛车破解