Akıllı oyuncaklar evinizdeki konuşmaları servis ediyor!

Çocukların ve ebeveynlerinin, birbirlerine mesajlar göndermelerini sağlayan internet bağlantılı akıllı oyuncaklar,hacker’ların yeni hedefi oldu. Spiral Toys tarafından CloudPets serisinin bir parçası olarak yaratılan akıllı oyuncak ayının, 800 binden fazla kullanıcının kimliğini ve 2 milyon sesli mesaj kaydını herkesin görebileceği ve dinleyebileceği şekilde online olarak korunmasız bıraktığı ortaya çıktı.

Global siber güvenlik şirketi Bitdefender, hassas verileri sızdırabilen akıllı oyuncaklar konusunda aileleri uyardı. Kullanıcıların e-posta adresi, şifresi ve ses kayıtlarını korumasız bırakan Spiral Toys, yeni bir güvenlik ihlaline yol açtı. 

Spiral Toys tarafından CloudPets serisinin bir parçası olarak yaratılan akıllı oyuncak ayı, mikrofonu, hoparlörleri ve mobi uygulaması sayesinde ebeveynler ve çocukları arasında bir iletişim kanalı olarak kullanılıyor.

Güvenlik araştırmacısı Troy Hunt‘a göre, müşteri veri tabanı ve kaydedilen mesajlar, MongoDB’de Spiral Toys’un sözleşmeli olduğu mReady adlı bir Romanya şirketi tarafından saklandı. Ancak bu veriler, bir şifre veya güvenlik duvarı ile korunmak yerine halka açık bırakıldı.

Spiral Toys, müşteri veri tabanlarını herkese açık bir yerde depolamanın yanı sıra, kayıtları, müşteri profil resimlerini, çocukların adlarını ve ebeveynleri, akrabaları ve arkadaşlarıyla olan ilişkilerini depolamak için yetki gerektirmeyen bir Amazon barındırma hizmeti kullandı.

Hunt’a göre herhangi birinin verileri elde etmesi için gereken tek şey, çözmenin zor olmadığını dosya konumunu bilmek. Bilgiye erişen hackerlar bu bilgileri kopyaladı ve ardından fidye için veri tabanını tutarak sunucuyu temizledi.

Son yaşanan olay, ne ilk ne de son!

Akıllı oyuncak ile ilgili zayıf noktalar Aralık ayında tespit edildi ve o zamandan beri üreticiye dört kez ulaşıldı, ancak yanıt alınamadı. Hunt, söz konusu iki şirketten en az birinin güvenlik açıklarını ve veri ihlalini bildiğine inanıyor. Fidye talep edenlerin geride bıraktığı kanıtlar da, bazı şirket yetkililerinin müdahaleleri bildiğini ortaya koyuyor.

İnternet bağlantılı oyuncaklarla ilgili endişeler son birkaç yıldır sıkça gündeme geliyor. Kasım 2015’te teknoloji haberleri sitesi Motherboard, oyuncak üreticisi VTech’in yaklaşık 5 milyon yetişkinin adını, e-posta adresini, şifresini ve ev adresini, buna ek olarak 200 binden fazla çocuğun adını, cinsiyetini ve doğum tarihini korunmasız bırakan ihlalini açığa çıkarmıştı.

Bundan bir ay sonra, bir araştırmacı Mattel tarafından yapılan internete bağlı bir Barbie bebeğin hackerların gerçek zamanlı konuşmalara müdahale etmesine izin verebilecek zayıf noktalar içerdiğini bulmuştu.

‘Eski moda oyuncak ayıları tercih edebilirsiniz’

Akıllı olarak adlandırılan internet bağlantılı cihazların genellikle güvensiz, kolay hacklenebilir ve hassas verileri sızdırır durumda olduğuna dikkat çeken Bitdefender, “Eğer çocuğunuzla aranızdaki sevgi mesajları çevrimiçi dünyada açığa çıksın istemiyorsanız, güvensiz bir sunucuya bağlanmayan eski moda bir oyuncak ayı satın almak isteyebilirsiniz” uyarısı yaptı.


Yorumlar

yorum

Bir Cevap Yazın