Jouet connecté : après un piratage, les données de 800000 familles fuitent sur le web

La société américaine Spiral Toys va regretter d’avoir pris à la légère la sécurité des objets connectés d’une part, mais aussi d’avoir omis de prévenir ses utilisateurs que ses produits avaient été piratés et qu’un important volume de données avait fuité sur le web.

Les piratages d’objets connectés sont de plus en plus fréquents en raison du peu d’investissements dans ce domaine par certaines entreprises, qui préfèrent consacrer leurs moyens pour le marketing de leurs produits afin d’être les premiers à les proposer sur le marché. Le problème, c’est que cette fois cela touche une niche très sensible, celle des enfants, car Spiral Toys est un spécialiste des jouets connectés.

Jouets connectés : la gamme Cloudpets de Spiral Toys a été piratée

Plus de 800000 comptes ont été piratés avec les informations qui y sont liées et plus de 2,2 millions de messages vocaux se retrouvent également sur la toile. Les peluches connectées de la marque permettait en effet aux parents et aux enfants de s’échanger des messages par le biais d’une application téléphonique, à travers l’ours en peluche.

Des personnes mal intentionnées peuvent désormais disposer d’informations sur les parents (identifiants, mail, mot de passe, adresse, etc.), mais également aux conversations qui ont eu lieu entre les parents et leurs enfants. Consciente de l’énorme problème auquel l’entreprise pouvait avoir à faire face, Spiral Toys a tout simplement pris le parti de ne pas prévenir les utilisateurs du piratage avant que les données ne soient en ligne et qu’il ne soit trop tard.

Des clients mis à l’écart et des mots de passe probablement compromis

Troy Hunt, le spécialiste qui a mis à jour cette histoire est abasourdi par le manque de sérieux d’un acteur qui travaille pourtant sur une niche d’utilisateurs très sensible. L’expert  rapporte que plusieurs autres spécialistes en sécurité avaient tenté de contacter la société pour l’informer de la faille de sécurité sur les bases MongoDB, mais que l’entreprise n’aurait jamais daigné répondre à un seul d’entre eux.

Autre preuve de ce laxisme, les générateurs de mots de passe de chez Spiral Toy ne définissait aucune règle restrictive, on peut donc imaginer que ces derniers devaient être extrêmement simples, surtout pour un jouet connecté. L’entreprise n’ayant pris aucune mesure pour inviter les utilisateurs à changer de mot de passe après le piratage, il ne fait aucun doute que des milliers de comptes sont aujourd’hui totalement vulnérables et que les parents ne sont pas du tout au courant du risque d’espionnage dont pourrait être victime leur famille.Piratage de la gamme de jouets connectés Cloudpets de Spiral Toys

Source


  • Volkswagen : cinq électriques d’ici 2022, deux surprises privées d’Europe

    Chez Volkswagen, on s’empresse de dégainer l’offensive électrique le plus vite possible. Et visiblement, plus on se rapproche de l’échéance, plus on découvre de nouveaux modèles Une gamme complète Volkswagen Insufflé par la présentation du concept I.D. au Mondial de l’Auto en Septembre 2016, la gamme électrique Volkswagen s’est vue déclinée dans une version Minivan [... […]

  • Top 5 des vidéos de crash de drone, c’est sûr, ils voleront moins bien maintenant !

    Les accidents de drones sont devenus monnaie courante et les petits crash font partie également de la vie d'un drone, pourtant certains crash de drones sont plus durs que d'autres. On vous en propose cinq et une dernière vidéo en bonus car parfois ce n'est ni de la faute du drone, ni de celle du pilote, mais d'un tiers... Nous n'en disons pas plus ! […]

  • Blood Drive, une série complètement déjantée

    Blood Drive, la nouvelle série diffusée sur Syfy depuis la semaine dernière se révèle très très surprenante. Si vous aimez les séries B, Mad Max ou le genre Grindhouse alors ce show est pour vous !  Blood Drive entre gore et ridicule “Dans un futur lointain… en 1999, la raréfaction de l’essence a ravagé la [... […]

Nos dernières vidéos

Un commentaire

  1. Je suis conscient qu’on ne peux jamais être au top de la sécurité mais des bases de données et communications cryptées juste pour, en cas de vol, rendre les données obsolètes semble le minimum de nos jours !

    C’est un peu comme si on vous vendait une voiture sans airbags; Tant qu’il n’y a pas d’accident, tout vas bien…

Répondre

Send this to a friend