Une entreprise qui vend des « ours en peluches intelligents » connectés à Internet a vu sa base de données clients, qui comprend les identifiants de pas moins 800 000 utilisateurs, piratée par des hackers qui l’ont verrouillée avant d’exiger une rançon.
Parmi les données confisquées par les hackers, deux millions de messages vocaux adressées par des enfants et des parents à l’ours en peluche ont également été saisis et publiés sur le net. Tous les curieux peuvent aujourd’hui entendre les paroles intimes échangées au sein du foyer familial et stockées sur un serveur distant non sécurisé. Encore un exploit de l’Internet des objets !
Depuis le 24 décembre 2016 et jusqu’à la première semaine de janvier, Spiral Toys avait laissé les données clients de sa marque CloudPets sur une base de données non protégée par un pare-feu et un mot de passe. Le MongoDB (le système de gestion de base de données) de l’entreprise était donc très facile à trouver en utilisant Shodan, un moteur de recherche qui permet de détecter les sites Web et des serveurs non sécurisés, selon les experts qui ont trouvé et analysé ces données.
Les données exposées comprenaient plus de 800 000 emails et mots de passe. Ces derniers étaient sécurisés par la fonction de hachage bcrypt et étaient, théoriquement, difficiles à casser. Malheureusement, un grand nombre de ces mots de passe étaient si faibles qu’il a été possible de les casser malgré tout, selon Troy Hunt, l’expert en sécurité qui gère le site Have I Been Pwned et a examiné les données de CloudPets.
Les messages vocaux ne sont pas eux-mêmes dans la base de données, selon les chercheurs. Mais Hunt a découvert qu’ils ont été stockés sur Amazon S3, et sont accessibles sans authentification. Tant que les hackers pouvaient deviner l’URL des fichiers, ils pouvaient donc écouter les messages concernés. Hunt estime que c’est tout à fait possible ; de nombreux clients ont utilisé des mots de passe incroyablement faibles, tels que 123456 ou « cloudpets » (en partie parce que l’application autorisait les mots de passe très simples et très courts comme le montre cette vidéo), et il était donc très simple de se connecter dans leurs comptes et d’écouter les messages enregistrés.
Les données ont été exposées il y a deux mois, et depuis l’entreprise n’a pas prévenu les victimes ni divulgué la faille de sécurité publiquement. Bien joué, Spiral Toys.
Videos by VICE
« Ils ont été complètement irresponsables. »
« Ils ont été complètement irresponsables. La boite avait forcément pris connaissance de la faille, tout le monde les as prévenus, » explique Gevers à Motherboard. « Les gens font des erreurs. C’est la manière dont ils réagissent après avoir merdé qui définit qui ils sont. Tenter de dissimuler une affaire aussi grave prouve que vous êtes lâche et que vous n’avez rien à faire dans ce secteur, ou dans tout secteur qui manipule des données personnelles. »
Gevers explique qu’il a trouvé la base de données fin décembre et a désespérément tenté de rentrer contact avec la société afin de l’alerter et de lui faire des recommandations sur la marche à suivre. Cependant, il n’a pas obtenu la moindre réponse de CloudPets, ni Spiral Toys, sa société mère. Finalement, les pirates ont exploité la faille de sécurité dans le cadre d’une vaste attaque appuyée par une demande de rançon, le 12 Janvier, selon Gevers.
« J’ai essayé de les contacter par email, Lindedin, Zendesk et Twitter », nous explique Gevers par email. « J’ai même essayé de contacter les responsables de manière individuelle par email. Je n’ai jamais reçu la moindre réponse. »
Jason Pagel, un étudiant ayant participé au workshop organisé par Hunt la semaine dernière et père d’une petite fille de 6 ans, a découvert la faille de sécurité grâce à Hunt lui-même.
« Ma plus grande crainte était que quelqu’un puisse l’exploiter afin d’envoyer des messages inappropriés à ma fille, » confie-t-il à Motherboard. « Ses grands-parents ne lui enverront plus de messages par ce biais, c’est sûr. Même si je doute que nous jetions purement et simplement ce jouet, à laquelle elle tient, ce n’est plus qu’une peluche standard au prix tout à fait déraisonnable. »