Un’azienda che vende orsacchiotti connessi a internet, che permettono a bambini e genitori lontani tra loro di mandarsi teneri messaggi, ha lasciato le credenziali di oltre 800.000 clienti — per non parlare di 2 milioni di messaggi registrati — completamente esposti online, dove chiunque poteva sentirli e vederli. Dal giorno di natale dell’anno scorso e almeno fino alla prima settimana di gennaio, Spiral Toys ha lasciato i dati dei clienti della linea CloudPets su un database che non era protetto da firewall o password di alcun genere. Il MongoDB è stato facile da trovare usando Shodan, un motore di ricerca che facilita la scoperta di siti e server non protetti, stando a diversi ricercatori in sicurezza che hanno trovato e ispezionato i dati. I dati esposti includevano oltre 800,000 tra email e password, che sono protette con la funzione di hashing di password bcrypt, in teoria più difficile da crackare. Sfortunatamente, però, ampia parte di queste password erano talmente deboli da essere facilissime da crackare, stando a quanto detto da Troy Hunt, ricercatore in sicurezza che cura il sito Have I Been Pwned e ha analizzato i dati di CloudPets.

Nel periodo in cui i dati sono rimasti scoperti, almeno due ricercatori e probabilmente svariati hacker malintenzionati sono riusciti a metterci le mani sopra. Anzi, all’inizio di gennaio, mentre diversi cyber-criminali passavano al setaccio internet per trovare i database esposti di MongoDB per cancellare i loro dati e ricattarli, i dati di CloudPets sono stati riscritti due volte, stando ai ricercatori.

Due ricercatori hanno avvertito Motherboard di questa violazione indipendentemente uno dall’altro nelle ultime settimane. Con il loro aiuto, Motherboard è riuscita a verificare la legittimità della violazione.

Videos by VICE

Come è capitato di vedere infinite volte nell’ultimo paio di anni, i cosiddetti dispositivi “smart” connessi a internet — altrimenti detto Internet of Things o IoT — sono spesso e volentieri lasciati con poche barriere di sicurezza e facilmente attaccabili, o lasciano trapelare dati sensibili. Un giorno forse gli sviluppatori e costruttori di IoT impareranno la lezione e renderanno sicuri i propri dispositivi, ma quel giorno non è decisamente oggi. A questo punto, se siete il tipo di genitore che non è felice di vedere il messaggio affettuoso rivolto ai propri figli finire online, è il caso che compriate un orsacchiotto vecchia scuola, che non si connette a qualche server remoto e senza protezioni.

“Basta un piccolo errore da parte di chi custodisce i dati […] e ogni singolo pezzo di informazione che custodiscono su di te e sulla tua famiglia può diventare di pubblico dominio in pochi minuti,” ha scritto Hunt in un blogpost a propostito dell’incidente. “Se per voi va bene che le registrazioni dei vostri figli finiscano in posti inaspettati allora che così sia, ma è questo l’assunto da cui dovete partire, perché le possibilità che succeda sono molto concrete.”

La notizia della violazione di CloudPets arriva solo pochi giorni dopo che la Germania ha avvisato i genitori che una bambola connessa a internet poteva spiare i bambini, ritirando poi il prodotto dal mercato forzatamente. È l’ultimo di una catena di incidenti di sicurezza imbarazzanti per le aziende di giocattoli, il peggiore dei quali ha riguardato la VTech di Hong Kong, che ha perso i dati personali di 6.3 milioni di bambini e di 4.854.209 genitori, tra cui i selfie che si scattavano e inviavano sulle chat private.

Non è stato possibile contattare Spiral Toys, che sembra avere sede in California, per chiedere un commento. Sono state inviate molteplici email a diversi indirizzi che non hanno ricevuto risposta, e nessuno dell’azienda ha risposto ad alcuno dei telefoni associati con il loro nome. L’azienda sembra trovarsi in cattive acque finanziarie e potrebbe finire in bancarotta, dato che il suo valore di mercato è prossimo allo zero.

Il database di CloudPets sta facendo il giro dei bassifondi dell’internet, stando sia a Hunt che a Victor Gevers, il presidente della no-profit GDI Foundation, che spiega i problemi di sicurezza alle vittime che li subiscono. Gevers ha visto il database mentre era online alla fine dell’anno scorso, e ha detto che conteneva dati su 821.396 utenti registrati, 371.970 registrazioni di amici (profili ed email) e 2.182.337 messaggi vocali.

I messaggi vocali di per sé non erano nel database, stando ai ricercatori. Ma Hunt ha scoperto che erano conservati in un bucket S3 di Amazon che non richiede alcuna autenticazione. In altre parole, se gli hacker riuscivano a indovinare l’URL dei file, potevano ascoltare i messaggi. Hunt ha detto che, a suo avviso, la cosa è assolutamente possibile. Inoltre, molti clienti usavano password incredibilmente deboli come 123456 o “cloudpets,” (in parte, probabilmente, perché la app permette agli utenti di creare account anche con una password cortissima, tipo “qwe,” come mostra questo video), rendendo un gioco da bambini entrare negli account e ascoltare i messaggi salvati.

Come se non bastasse, i dati sono stati esposti due mesi fa, e da allora, l’azienda non ha avvertito le vittime, né riconosciuto pubblicamente l’attacco.

“Sono stati a dir poco irresponsabili.”

“Sono stati a dir poco irresponsabili, dovevano saperlo. Ho bussato a così tante porte,” ha detto Gevers a Motherboard. “Le persone commettono errori. Sono le azioni successive che definiscono il carattere di quella persona, però. Gestire una perdita di dati sensibili così grave in questo modo dimostra una mancanza di correttezza, quella che dovresti avere se lavori in questa industria o in qualsiasi campo in cui ti assumi la responsabilità dei dati della gente.”

Gevers ha detto di aver trovato il database online alla fine di Dicembre e di aver cercato di avvertire l’azienda dei rischi del lasciare questo tipo di dati esposti online. Ad ogni modo, non è riuscito ad ottenere risposta da CloudPets, né dall’azienda affiliata Spiral Toys. Alla fine, gli hacker hanno spazzato il database in occasione di una serie di attacchi con scopo di ricatto fatti ai danni di database aperti, il 12 gennaio, stando a Gevers.

“Ho cercato di raggiungerli via email, Linkedin, Zendesk, Twitter,” ha detto Gevers a Motherboard in una chat online. “Ho persino cercato di raggiungere le persone attraverso le loro email private. Nessuna risposta, mai.”

Jason Pagel, partecipante a un workshop tenuto da Hunt la settimana scorsa e padre di una bambina di sei anni, ha saputo della violazione grazie a Hunt, ed era sconvolto dalla perdita dei dati.

“La mia paura più grande è che qualcuno possa usare queste informazioni per inviare messaggi inappropriati a mia figlia, che ha sei anni,” ha detto Pagel a Motherboard per email. “[I miei genitori] di certo non manderanno più messaggi alla loro nipotina tramite questo aggeggio. Per quanto dubiti che butteremo mai via il giocattolo, ormai è ridotto a tutti gli effetti a un pupazzo di pezza che costa troppo.”