Internet der Dinge

Dieser Teddybär hat zwei Millionen private Audiobotschaften verraten

Bei einem Hersteller „smarter” Kuscheltiere hat es vor einigen Wochen ein großes Leak gegeben. Eine Datenbank mit 800.000 Nutzern landete im Netz – längst haben sich Hacker die Daten besorgt.

von bad don't select me
28 Februar 2017, 11:58am

Die Teddybären, die Spiral Toys herstellt, sind keine durchschnittlichen Kuscheltiere. Einige der Produkte sind nämlich sogenannte CloudPets; mit einer Cloud verbundene Teddys, die es Kindern und Verwandten ermöglichen Botschaften abzuspielen, die sie über eine App verschickt haben. Das mag ein praktisches Feature sein, wenn Familienmitglieder viele Kilometer voneinander entfernt leben, doch es war auch ein Sicherheitsrisiko. Denn Spiral Toys ließ es zu, dass die Daten von 800.000 Nutzern und insgesamt zwei Millionen Audiobotschaften für jeden abrufbar waren.

Seit Weihnachten vergangenen Jahres und mindestens bis zur ersten Januarwoche war das Leak im Netz zu finden, wie jetzt bekannt wurde. Der Hersteller Spiral Toys hatte die Daten seiner cloudbasierten Spielzeuge in einer Datenbank gelagert, die weder durch eine Firewall noch durch Passwort-Abfragen geschützt wurde. Dieser „MongoDB" genannte Datensatz konnte problemlos mit Shodan, einer auf ungesicherte Webseiten und Server spezialisierte Suchmaschine, gefunden werden. Das berichteten mehrere Sicherheitsexperten, die auf die Daten gestoßen waren und diese untersuchten.

Unabhängig voneinander setzten sich zwei verschiedene Experten vor wenigen Wochen mit Motherboard in Verbindung, um über die Sicherheitslücken zu berichten. Mit ihrer Hilfe ist es Motherboard gelungen, den Leak und die Daten zu verifizieren. Der CloudPet-Fall reiht sich dabei ein in die lange Liste der Sicherheitslücken, die das sogenannte Internet of Things mit sich bringt: Immer wieder zeigte sich in der Vergangenheit, dass die mit dem Internet verbundene Geräte und ihre Daten ungesichert oder viel zu leicht zu knacken waren.

Die im aktuellen Fall geleakten 800.000 E-Mails und Passwörter sind zwar durch Spiral Toys mit der als besonders sicher geltende Hashfunktion bcrypt geschützt. Allerdings bestanden viele der betroffenen Passwörter nur aus vergleichsweise leicht zu entschlüsselnden Zeichenfolgen, wie Sicherheitsexperte und Betreiber der Webseite Have I Been Pwned Troy Hunt bestätigt, der die Daten der CloudPets analysierte. Die Daten der Nutzer seien als längst nicht immer ausreichend geschützt gewesen.

Sowohl Hunt als auch der Sicherheitsexperte Victor Geverse berichten, dass sich der Datensatz mit hoher Geschwindigkeit auf digitalen Untergrundmarktplätzen verbreitete. Das Leak enthält insgesamt Daten von 821.396 registrierten Nutzern, 371.970 Kontaktinformationen (Profildaten und E-Mails) sowie 2.182.337 Sprachnachrichten.

Wie Hunt herausfand, waren die Audiodateien zwar nicht Bestandteil der geleakten Datenbank, wurden jedoch im Cloudspeicherplatz Amazon S3 Bucket gelagert, der keine Authentifizierung für den Zugriff voraussetzt. Hacker mussten lediglich die URL-Adresse der Daten herleiten, um die Nachrichten abspielen zu können, glaubt Hunt. Auch durch die Vielzahl unsicherer Passwörter wie 123456 oder „cloudpets" war es für kriminelle Hacker einfach, Accounts zu knacken und auf die gespeicherten Daten zuzugreifen.

Leider hat Spiral Toys mit seinem Verhalten den Leak noch schlimmer gemacht: Obwohl die Daten bereits vor zwei Monaten veröffentlicht wurden, hat der Spielzeughersteller betroffene Kunden bisher nicht über den Vorfall in Kenntnis gesetzt. Auch eine offizielle Mitteilung über die Existenz der Sicherheitslücke wurde bisher nicht verschickt.

„Sie müssten von den Problemen gewusst haben und haben nicht gehandelt, das ist unverantwortlich. Ich habe so häufig versucht, sie auf das Problem aufmerksam zu machen", erklärte Gevers gegenüber Motherboard. „Menschen machen Fehler. Aber die Art und Weise, wie mit solchen Problemen umgegangen wird, zeigt, wie man drauf ist. Dieser Umgang mit einem solch gravierenden Datenlecks zeugt von mangelndem Verantwortungsgefühl und dann sollte man vielleicht besser nicht in dieser Branche oder in irgendeiner anderen arbeiten, in der es um den Schutz sensibler Daten geht."

Govers erklärt, dass er bereits Ende Dezember im Internet auf die Datensätze gestoßen sei. Schon damals habe er versucht, das Unternehmen vor den möglichen Folgen zu warnen, die sich aus der ungesicherten Online-Lagerung ergeben. Weder von Spiral Toys noch der Tochterfirma CloudPets sei eine Reaktion erfolgt. Schließlich hätten sich seine Befürchtungen bestätigt: Am 12. Januar haben Hacker sich dann laut Govers Zugriff zur der Datenbank beschafft.

Der mutmaßlich in Kalifornien ansässige Hersteller Spiral Toys hatte auf unsere Anfragen nicht geantwortet. E-Mails an verschiedene Adressaten blieben ebenso unbeantwortet wie mehrere Telefonanrufe. Möglicherweise befindet das Unternehmen sich in einer finanziellen Notlage und könnte kurz vor einem Insolvenzantrag stehen, wie ein Blick auf den Börsenwert zeigt, der nahezu den Nullpunkt erreicht hat.

Der Fall zeigt einmal mehr: Hersteller von Gadgets, die mit dem „Internet der Dinge" verbunden werden sollen, müssen dringend umdenken. Die Produkte müssen standardmäßig über die bestmöglichen Sicherheitsfeatures verfügen. Bis die Branche endlich umdenkt, solltet ihr womöglich lieber einfach einen traditionellen Teddybär kaufen, der nicht mit ungesicherten Servern kommuniziert.

Weitere Informationen zu dem Fall könnt ihr hier im englischen Artikel nachlesen.