FYI.

This story is over 5 years old.

Tech

Le piratage d’un ours en peluche connecté dévoile l’intimité de milliers de familles

Une entreprise qui vend des « ours en peluches intelligents » connectés à Internet a vu sa base de données clients, qui comprend les identifiants de pas moins 800 000 utilisateurs, piratée par des hackers qui l’ont verrouillée avant d’exiger une rançon.

Les messages vocaux ne sont pas eux-mêmes dans la base de données, selon les chercheurs. Mais Hunt a découvert qu'ils ont été stockés sur Amazon S3, et sont accessibles sans authentification. Tant que les hackers pouvaient deviner l'URL des fichiers, ils pouvaient donc écouter les messages concernés. Hunt estime que c'est tout à fait possible ; de nombreux clients ont utilisé des mots de passe incroyablement faibles, tels que 123456 ou « cloudpets » (en partie parce que l'application autorisait les mots de passe très simples et très courts comme le montre cette vidéo), et il était donc très simple de se connecter dans leurs comptes et d'écouter les messages enregistrés.

Publicité

Les données ont été exposées il y a deux mois, et depuis l'entreprise n'a pas prévenu les victimes ni divulgué la faille de sécurité publiquement. Bien joué, Spiral Toys.

« Ils ont été complètement irresponsables. »

« Ils ont été complètement irresponsables. La boite avait forcément pris connaissance de la faille, tout le monde les as prévenus, » explique Gevers à Motherboard. « Les gens font des erreurs. C'est la manière dont ils réagissent après avoir merdé qui définit qui ils sont. Tenter de dissimuler une affaire aussi grave prouve que vous êtes lâche et que vous n'avez rien à faire dans ce secteur, ou dans tout secteur qui manipule des données personnelles. »

Gevers explique qu'il a trouvé la base de données fin décembre et a désespérément tenté de rentrer contact avec la société afin de l'alerter et de lui faire des recommandations sur la marche à suivre. Cependant, il n'a pas obtenu la moindre réponse de CloudPets, ni Spiral Toys, sa société mère. Finalement, les pirates ont exploité la faille de sécurité dans le cadre d'une vaste attaque appuyée par une demande de rançon, le 12 Janvier, selon Gevers.

« J'ai essayé de les contacter par email, Lindedin, Zendesk et Twitter », nous explique Gevers par email. « J'ai même essayé de contacter les responsables de manière individuelle par email. Je n'ai jamais reçu la moindre réponse. »

Jason Pagel, un étudiant ayant participé au workshop organisé par Hunt la semaine dernière et père d'une petite fille de 6 ans, a découvert la faille de sécurité grâce à Hunt lui-même.

« Ma plus grande crainte était que quelqu'un puisse l'exploiter afin d'envoyer des messages inappropriés à ma fille, » confie-t-il à Motherboard. « Ses grands-parents ne lui enverront plus de messages par ce biais, c'est sûr. Même si je doute que nous jetions purement et simplement ce jouet, à laquelle elle tient, ce n'est plus qu'une peluche standard au prix tout à fait déraisonnable. »