Sprechende Kuscheltiere liefern Daten an Erpresser

CloudPets sind Kuscheltiere, die mit dem Internet verbunden sind. Mittels App können Eltern Nachrichten aufnehmen, die süßen Bären geben diese dann wieder. Die kuscheligen Freunde könnten jedoch ein Datenschutzrisiko darstellen. Datenbanken der CloudPets waren über längere Zeit ungeschützt im Internet abrufbar, der Hersteller wurde schließlich von Datendieben erpresst.

Der Hersteller der CloudPets wirbt damit, dass persönliche Nachrichten mit dem Kucheltier aufgenommen und gespeichert werden können. Eltern könnten ihren Kindern auf diese Weise auch aus der Ferne einen schönen Tag oder eine „Gute Nacht“ wünschen. Die Nachrichten werden über eine App an das Stofftier übertragen.

In einem Werbevideo der Cloud-Pets ist etwa zu sehen, wie ein Soldat aus einem fernen Teil der Welt eine Nachricht an seine Lieben daheim sendet. Eine Nachricht, die man umarmen kann, so der Slogan. Das funktioniert deshalb, weil Teddybär und Co. mit dem Internet verbunden sind. Die Sprachnachrichten werden mit der App in das Internet übetragen und auf einem Amazon Cloud Server gespeichert.

2,2 Millionen Sprachnachrichten ungeschützt im Netz

Die sprechenden Kuscheltiere könnten nun allerdings für einen Datenschutzskandal verantwortlich sein. Wie der US-Sicherheitsexperte Troy Hunt in seinem Blog berichtet, soll eine Datenbank der CloudPet Nutzer über längere Zeit ohne Passwortschutz im Internet zugänglich gewesen sein. Hunt berichtet, er habe in der Datenbank über 820.000 Datensätze von registrierten Anwendern, sowie Referenzen auf 2,2 Millionen Sprachnachrichten gefunden.

Hauptgrund für das Debakel sollen die laxen Sicherheitsstandards des Spielzeugherstellers bei den Richtlinien für die Passwortvergabe gewesen sein. Die Passwörter, die ebenfalls in der Datenbank gespeichert waren, seien zwar verschlüsselt gewesen, durch die unzureichenden Sicherheitsrichtlinien bei der Passwortvergabe sollen aber auch unsichere Codes wie „1234“ oder „susi123“ möglich gewesen sein. Auf diese Weise sei es Cyberkriminellen ein Leichtes gewesen, eine Vielzahl von Passwörtern zu knacken und die auf den Benutzerkonten gespeicherten Nachrichten herunterzuladen, so Hunt.

Lasche Sicherheitsvorkehrungen beim Hersteller

Nachdem Angreifer die Daten heruntergeladen hatten, seien die originalen Datenbanken Anfang Jänner schließlich gelöscht worden. Der Hersteller soll seitdem mit etlichen Lösegeldforderungen konfrontiert gewesen sein. Die Nachrichten würden erst wieder freigegeben, wenn eine Lösegeldsumme bezahlt werde, so die Forderung.

Die betroffenen Kunden soll Spiral Toys nicht informiert haben. Das im US-Bundesstaat Kalifornien ansässige Unternehmen spricht in einer Stellungnahme gegenüber dem Internetmagazin „Network-World“ von einem sehr kleinen Problem. „Wir müssen eine Balance finden“, verteidigt Spiral-Toys CEO Mark Myers seine Entscheidung für die bescheidenen Sicherheitsstandards bei der Wahl der Sicherheitspasswörter.

„Alltagsspionage im Kinderzimmer“

Der Zwischenfall mit den flauschigen CloudPets ist nicht der einzige, bei dem internettaugliches Kinderspielzeug für Aufregung gesorgt hat. Erst kürzlich wurde die sprechende Puppe Cayla von der deutschen Bundesnetzagentur verboten, weil sie „eine sendefertige Abhöranlage“ sei. Von „Alltagsspionage“, die schon in die Kinderzimmer vorgedrungen sei, sprach in diesem Zusammenhang der Präsident der Bundesnetzagentur, Jochen Homann. In Österreich ist „Meine Freundin Cayla“ nach wie vor erlaubt. Auch die CloudPets können weiterhin via Amazon nach Österreich geliefert werden.

Link:

• Artikel von Troy Hunt (Englisch)

Mehr zum Thema:

• Deutschland verbietet sprechende Puppe „Cayla“
• Worauf bei „smarten“ Geschenken zu achten ist