為什麼這麼多玩具容易受到駭客攻擊？

我一直希望我們已經達到了易受攻擊的小玩意的峰值，卻聽到了另一個不安全的裝置。尤其是玩具繼續被暴露為隱私和安全的噩夢，任何人只要有一點調查的願望都可以發現。本週，在玩具隱私噩夢中，一家名為Spiral Toys的公司被髮現在網上曝光了80萬個使用者帳戶憑據，以及200萬條語音留言錄音。...

我一直希望我們已經達到了易受攻擊的小玩意的峰值，卻聽到了另一個不安全的裝置。尤其是玩具繼續被暴露為隱私和安全的噩夢，任何人只要有一點調查的願望都可以發現。本週，在玩具隱私噩夢中，一家名為Spiral Toys的公司被髮現在網上曝光了80萬個使用者帳戶憑據，以及200萬條語音留言錄音。

該公司的CloudPets產品線包括網際網路連線的泰迪熊（tedybears），它將使用者憑證儲存在一個資料庫中，該資料庫沒有密碼保護，也沒有防火牆保護。安全研究人員透過Shodan發現了MongoDB，Shodan是一個搜尋引擎，用於查詢易受攻擊的網站和伺服器。他們的工作得到了主機板的獨立驗證。當然，如果安全研究人員發現了那個資料庫，那麼惡意參與者也完全有可能——而且很可能——發現了。

CloudPets只是一長串易受攻擊的玩具中的另一個名字，包括Cayla娃娃、Hello芭比娃娃和VTech的玩具。在這一點上，不安全的小玩意和玩具是例行公事，這可能會讓你問為什麼建立一個安全的，連線的裝置如此困難。原因各不相同，但在很大程度上，這與金錢和匆忙的安全措施有關。

正如我以前寫的關於連線的小工具，構建安全的東西並不容易。它需要一個專門的團隊，他們知道自己在做什麼，支付這些人的錢，以及周到的考慮。在CloudPets的案例中，它的母公司在財務上舉步維艱。安全研究員特洛伊·亨特（Troy Hunt）揭露了這個資料庫，他指出，它的每股價值不到半美分。這也可以解釋為什麼公司沒有回應亨特和主機板的多次置評請求。

在其他情況下，比如Hello Barbie，與其說娃娃不安全，不如說是一家玩具公司（Mattel）收集了大量關於孩子的資料。這在財政上可能是有利的，但肯定不能讓父母放心。亨特在他的部落格中寫道：“代表資料保管人只需犯一個小錯誤——比如錯誤配置資料庫安全性——他們掌握在你和你家人身上的每一條資料都可以在短短幾分鐘內進入公共領域。”

好訊息是，這些玩具確實需要家長的許可才能開始收集資料。通常，這是透過一個配套的智慧**應用程式提供的。在購買玩具時，父母應該仔細閱讀隱私政策，弄清楚公司保留了哪些資料。他們會賣給第三方嗎？它在裝置上保持本地嗎？

互聯玩具具有吸引力：它們可以與你的孩子互動，提供資訊，通常聽起來很酷的想法。但與普通玩具相比，它們會帶來一系列風險。會說話的芭比娃娃或互動泰迪熊真的值得嗎？