我一直希望我們已經達到了易受攻擊的小玩意的峰值,卻聽到了另一個不安全的裝置。尤其是玩具繼續被暴露為隱私和安全的噩夢,任何人只要有一點調查的願望都可以發現。本週,在玩具隱私噩夢中,一家名為Spiral Toys的公司被髮現在網上曝光了80萬個使用者帳戶憑據,以及200萬條語音留言錄音。
該公司的CloudPets產品線包括網際網路連線的泰迪熊(tedybears),它將使用者憑證儲存在一個資料庫中,該資料庫沒有密碼保護,也沒有防火牆保護。安全研究人員透過Shodan發現了MongoDB,Shodan是一個搜尋引擎,用於查詢易受攻擊的網站和伺服器。他們的工作得到了主機板的獨立驗證。當然,如果安全研究人員發現了那個資料庫,那麼惡意參與者也完全有可能——而且很可能——發現了。
CloudPets只是一長串易受攻擊的玩具中的另一個名字,包括Cayla娃娃、Hello芭比娃娃和VTech的玩具。在這一點上,不安全的小玩意和玩具是例行公事,這可能會讓你問為什麼建立一個安全的,連線的裝置如此困難。原因各不相同,但在很大程度上,這與金錢和匆忙的安全措施有關。
正如我以前寫的關於連線的小工具,構建安全的東西並不容易。它需要一個專門的團隊,他們知道自己在做什麼,支付這些人的錢,以及周到的考慮。在CloudPets的案例中,它的母公司在財務上舉步維艱。安全研究員特洛伊·亨特(Troy Hunt)揭露了這個資料庫,他指出,它的每股價值不到半美分。這也可以解釋為什麼公司沒有回應亨特和主機板的多次置評請求。
在其他情況下,比如Hello Barbie,與其說娃娃不安全,不如說是一家玩具公司(Mattel)收集了大量關於孩子的資料。這在財政上可能是有利的,但肯定不能讓父母放心。亨特在他的部落格中寫道:“代表資料保管人只需犯一個小錯誤——比如錯誤配置資料庫安全性——他們掌握在你和你家人身上的每一條資料都可以在短短幾分鐘內進入公共領域。”
好訊息是,這些玩具確實需要家長的許可才能開始收集資料。通常,這是透過一個配套的智慧**應用程式提供的。在購買玩具時,父母應該仔細閱讀隱私政策,弄清楚公司保留了哪些資料。他們會賣給第三方嗎?它在裝置上保持本地嗎?
互聯玩具具有吸引力:它們可以與你的孩子互動,提供資訊,通常聽起來很酷的想法。但與普通玩具相比,它們會帶來一系列風險。會說話的芭比娃娃或互動泰迪熊真的值得嗎?
... 事實上,我們有一個大名單,你應該做什麼,如果你想讓你的帳戶洩露。嚴格遵循這個建議,你也可以體驗到被駭客入侵社交媒體賬戶的樂趣,甚至可能是身份盜竊。 ...
...慧**作為安全攝像頭,而且你可能有一箇舊**躺在某處,為什麼不把它使用?這篇文章涵蓋了使用突出的眼睛,以保護您的住所,而你出去,以及兩個其他選擇,以保護您的財產。 ...
... 但真正的問題是什麼?****的玩具肯定是孩子們學習的好方法嗎?好吧,這是執行:不安全的藍芽連線,基本上。簡言之,這是降低成本——選擇捷徑,而不是確保一個可能改變生活的玩...
...安全的這些基本原則。當你對夜間雙重鎖門保持警惕時,為什麼不用雙重認證雙重鎖上你的電子郵件呢?這讓人難以置信。 ...
...。如果一款****要求你提供簡訊閱讀許可權,但沒有解釋為什麼需要這些許可權,請注意安全,不要讓應用程式安裝。永遠不要安裝來自第三方網站的應用程式,因為它們更有可能包含惡意軟體。 ...
...常不做,當然不是由普通使用者完成的。這些優勢解釋了為什麼決心堅定和足智多謀的攻擊者將繼續以系統的UEFI為目標。” ...