Jouets connectés : des peluches piratées pour récupérer des données personnelles

Le par  |  11 commentaire(s) Source : Motherboard
CloudPet

Après la poupée Cayla bannie d'Allemagne, c'est au tour d'un autre jouet connecté d'être critiqué : une faille aurait permis d'espionner 800 000 familles à travers les yeux d'un ours en peluche.

Les objets connectés concernent de plus en plus de consommateurs, et même les enfants sont désormais la cible des fabricants qui souhaitent leur proposer des jouets et articles de plus en plus perfectionnés.

C'est le cas de Spiral Toys qui a lancé sur le marché il y a plusieurs mois déjà une gamme de peluches connectées baptisée CloudPet. La gamme se compose de diverses peluches représentant des animaux (4 modèles au total) qui ont la capacité de restituer aux enfants un ensemble de phrases dictées par les parents.

Une application permet de synchroniser le jouet avec une application, les phrases des parents étant stockées sur des serveurs distants.

Malheureusement, ces serveurs ont fait l'objet d'un piratage qui a permis aux pirates de s'emparer d'un ensemble de données relatives à 800 000 comptes utilisateur. Pour être plus précis, il ne s'agit pas véritablement d'un piratage, mais plutôt d'une négligence, puisque les données étaient stockées sur une base de données MongoDB libre d'accès sécurisée par aucun mot de passe.

CloudPet

Des individus ont ainsi pu se saisir des emails, mots de passe et autres données que les familles avaient renseignés au moment de créer leur compte. On note également la fuite de quelque 2,2 millions de messages vocaux échangés entre les parents et leurs enfants à travers les peluches.

La base de données aurait été récupérée une première fois, et les assaillants auraient organisé une tentative d'extorsion auprès de Spiral Toys. La société a confirmé que sa base de données avait bien été exposée sur Internet, tout en assurant que les messages vocaux n'avaient pas été compromis.

Reste que l'affaire fait grand bruit et que le danger que représentent ces jouets connectés est bien réel. Selon l'expert Paul Stone qui s'exprimait sur ce sujet sur MotherBoard, il suffit de se placer à quelques mètres du jouet et de s'y connecter avec un smartphone pour le transformer en mouchard capable d'espionner les conversations et de les envoyer vers n'importe quel serveur sous la forme de messages de 40 secondes.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1954681
il ne s'agit pas véritablement d'un piratage, mais plutôt d'une négligence, puisque les données étaient stockées sur une base de données MongoDB libre d'accès sécurisée par aucun mot de passe.

Arrivé a ce niveau j'ai du mal a encore appelé çà une négligence.
Le #1954691
"il suffit de se placer à quelques mètres du jouet et de s'y connecter avec un smartphone pour le transformer en mouchard capable d'espionner les conversations et de les envoyer vers n'importe quel serveur sous la forme de messages de 40 secondes."

C'est quand même chaud
Chaque jour une nouvelle faille sur les objets connectés
Anonyme
Le #1954707
drahus a écrit :

il ne s'agit pas véritablement d'un piratage, mais plutôt d'une négligence, puisque les données étaient stockées sur une base de données MongoDB libre d'accès sécurisée par aucun mot de passe.

Arrivé a ce niveau j'ai du mal a encore appelé çà une négligence.


On irait même à ce dire que ce n'est pas volontaire du tout.
Le #1954726
Putain mais les devs du projet sont attardés ou quoi ?
Anonyme
Le #1954738
Safirion a écrit :

Putain mais les devs du projet sont attardés ou quoi ?


Non puisque c'est volontaire.
Le #1954751
faudrait peut etre que les gens se remettent aussi en question. On achete pas ce type de jouets sans se demander, ne serait ce qu'une seconde, comment sont securisées mes données perso ? et tous ce que je vais envoyer sur le Cloud ??

... consommateurs (en deux mots bien sur)
Le #1954806
CoRsCiA a écrit :

faudrait peut etre que les gens se remettent aussi en question. On achete pas ce type de jouets sans se demander, ne serait ce qu'une seconde, comment sont securisées mes données perso ? et tous ce que je vais envoyer sur le Cloud ??

... consommateurs (en deux mots bien sur)


A mon avis ça les dépasse
Mme Michu qui va acheter son jouet ne sait même pas que des données sont envoyées, et sous quelles conditions.
Ce qu'il faut c'est légiférer là dessus et imposer la sécurisation aux constructeurs sous peine d'amende (% du chiffre d'affaire).
Le #1954876
skynet a écrit :

CoRsCiA a écrit :

faudrait peut etre que les gens se remettent aussi en question. On achete pas ce type de jouets sans se demander, ne serait ce qu'une seconde, comment sont securisées mes données perso ? et tous ce que je vais envoyer sur le Cloud ??

... consommateurs (en deux mots bien sur)


A mon avis ça les dépasse
Mme Michu qui va acheter son jouet ne sait même pas que des données sont envoyées, et sous quelles conditions.
Ce qu'il faut c'est légiférer là dessus et imposer la sécurisation aux constructeurs sous peine d'amende (% du chiffre d'affaire).


voeux pieux mon bon ami.

Vu que ces sociétées sont des multinationales ... avant de pouvoir leur imposer des trucs ... peut etre si on rajoute cela au catalogue norme NF ?? ...
Le #1954908
CoRsCiA a écrit :

skynet a écrit :

CoRsCiA a écrit :

faudrait peut etre que les gens se remettent aussi en question. On achete pas ce type de jouets sans se demander, ne serait ce qu'une seconde, comment sont securisées mes données perso ? et tous ce que je vais envoyer sur le Cloud ??

... consommateurs (en deux mots bien sur)


A mon avis ça les dépasse
Mme Michu qui va acheter son jouet ne sait même pas que des données sont envoyées, et sous quelles conditions.
Ce qu'il faut c'est légiférer là dessus et imposer la sécurisation aux constructeurs sous peine d'amende (% du chiffre d'affaire).


voeux pieux mon bon ami.

Vu que ces sociétées sont des multinationales ... avant de pouvoir leur imposer des trucs ... peut etre si on rajoute cela au catalogue norme NF ?? ...


Va falloir que l'Europe se bouge un peu le fion sur ce dossier des multinationales ...
Le #1954936
skynet a écrit :

CoRsCiA a écrit :

skynet a écrit :

CoRsCiA a écrit :

faudrait peut etre que les gens se remettent aussi en question. On achete pas ce type de jouets sans se demander, ne serait ce qu'une seconde, comment sont securisées mes données perso ? et tous ce que je vais envoyer sur le Cloud ??

... consommateurs (en deux mots bien sur)


A mon avis ça les dépasse
Mme Michu qui va acheter son jouet ne sait même pas que des données sont envoyées, et sous quelles conditions.
Ce qu'il faut c'est légiférer là dessus et imposer la sécurisation aux constructeurs sous peine d'amende (% du chiffre d'affaire).


voeux pieux mon bon ami.

Vu que ces sociétées sont des multinationales ... avant de pouvoir leur imposer des trucs ... peut etre si on rajoute cela au catalogue norme NF ?? ...


Va falloir que l'Europe se bouge un peu le fion sur ce dossier des multinationales ...


vu comment le parlement doit etre innondé de cadeaux de ces mêmes multinationales ... faut pas rever
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]