Hackean CloudPets. El peligro del Internet de las Cosas para los menores

El Internet de las Cosas hace que cada vez m√°s dispositivos, como juguetes, puedan estar conectados a Internet de manera que estos puedan aprovecharse del potencial de la red para brindar funciones y caracter√≠sticas que, de otra manera, ser√≠an totalmente impensables. El problema del IoT en los juguetes llega cuando las compa√Ī√≠as recopilan datos de los ni√Īos y no los protegen adecuadamente, tal como le ha ocurrido a la empresa CloudPets.

Hace algunas horas se daba a conocer un ataque inform√°tico contra¬†CloudPets, un juguete capaz de conectarse a Internet a trav√©s de Android y iOS con el fin de poder intercambiar mensajes de voz entre amigos. Adem√°s, gracias al micr√≥fono incluido en el juguete, los ni√Īos pueden enviar mensajes a sus padres o madres, as√≠ como a la inversa, facilitando la comunicaci√≥n cuando los padres no pueden estar cerca. Todos estos mensajes se almacenaban en los servidores de la compa√Ī√≠a, sin cifrar ni proteger de ninguna manera y, como era de esperar, al final ha ocurrido lo inevitable.

Como funciona CloudPets

CloudPets almacenaba las grabaciones de los menores en un servidor sin autenticación

Un ataque inform√°tico, del cual a√ļn no se conocen muchos datos, ha conseguido robar m√°s de dos millones de grabaciones de voz, junto a una serie de datos sobre los menores registrados en la plataforma. Seg√ļn se cree, este robo ha podido ser posible debido a que la compa√Ī√≠a responsable de CloudPets utilizaba una base de datos MongoDB mal configurada.

Esta base de datos utilizaba el puerto 2701 en su correspondiente direcci√≥n IP y, al intentar conectarse a ella, no ped√≠a ning√ļn tipo de autenticaci√≥n. Esta base de datos conten√≠a enlaces a las grabaciones, en formato WAV, sin cifrar, de los menores y sus padres en un servidor Amazon Cloud, de nuevo sin autenticaci√≥n. Un sencillo script ha conseguido descargar m√°s de dos millones de grabaciones con las conversaciones familiares y privadas de los menores.

El pirata inform√°tico responsable de este robo de datos pide un rescate a la compa√Ī√≠a a cambio de no hacerlos p√ļblico. De todas formas, este rescate no tiene demasiado valor, ya que el servidor ha estado abierto desde sus inicios, por lo que cualquier otra persona puede haber entrado, descargado los datos y salido sin dejar una sola pista.

Troy Hunt, responsable de la plataforma HaveIBeenPwned, ya ha subido a su base de datos este robo, confirmando así que los dos millones de grabaciones corresponden en total a más de 800.000 cuentas diferentes.

Los juguetes conectados a la nube son muy peligros. Estamos hablando de ni√Īos menores

No es la primera vez que se expone la seguridad de los menores por culpa de una mala configuración de los juguetes conectados al Internet de las Cosas. Sin ir más lejos, a finales de 2015 pudimos ver cómo se filtraban cerca de 200 Gb de fotos de menores utilizando juguetes de la marca V-Tech.

Además, no solo los juguetes están poniendo en peligro a los menores. Hoy en día es muy frecuente que las familias tengan monitores de bebé conectados a la red, monitores generalmente mal configurados y que aparecen listados en la plataforma Shodan, pudiendo cualquiera conectarse a ellos sin dificultad.

Sin duda, un ataque inform√°tico muy grave que pod√≠a haberse evitado simplemente habilitando la opci√≥n de ‚ÄúNo permitir conexiones an√≥nimas‚ÄĚ en la configuraci√≥n por defecto de MongoDB.

Fuente: https://www.redeszone.net