X

Les données de 800 000 propriétaires d’oursons connectés accessibles sur le web

Les CloudPets permettent aux enfants d’envoyer et de recevoir des messages enregistrés de partout dans le monde via leur peluche. Mais les messages vocaux de 800 000 utilisateurs, ainsi que leurs adresses mails et mots de passe se sont retrouvés dans la nature.

Lapins bleu, oursons, chiens, chats et licornes seraient à l’origine d’une énorme fuite de données personnelles. Commercialisés par la société américaine Spiral Toys, les animaux en peluche connectés ont laissé échapper les données personnelles de plus de 800 000 utilisateurs entre Noël et début janvier.

C’est Victor Gevers, président de la GDI Foundation, qui a fait la découverte fin 2016. Via le moteur de recherche Shodan qui permet de trouver des sites et serveurs non protégés, il a trouvé un lien vers la plate-forme MongoDB où étaient stockées les données.

La plateforme non protégée, ni par mot de passe, ni par un pare-feu, contenait les emails et mots de passe chiffrés des utilisateurs. Mais aussi elle donnait accès aux enregistrements audio faits par les utilisateurs, dont ceux des enfants, en trouvant la bonne adresse URL. Au total plus de deux millions d’enregistrements étaient accessibles.

Une faille exploitée par les hackers ?

Autre problème, découvert par Troy Hunt, un expert en sécurité informatique : CloudPets acceptait n’importe quel mot de passe sans en vérifier le niveau de sécurité. Le développeur raconte dans un post de blog avoir pu accéder à des comptes grâce aux mots de passe 123456, qwerty ou encore password...

Une faille d’autant plus importante que ces comptes permettaient aux parents de valider ou non les messages reçus par les ours en peluche de partout dans le monde.

Selon Troy Hunt, qui a continué ses recherches sur Shodan , au début du mois de janvier, les bases de données de CloudPets ont été renommées « PLEASE-READ », « README_MISSING_DATABASES » puis « PWNED_SECURE_YOUR_STUFF_SILLY ». Tout cela est signe, pour l’expert, que des hackers ont utilisé un ransomware pour extorquer de l’argent à Spiral Toys. 

Plusieurs tentatives pour prévenir la société

Cependant, dans un communiqué, la société qui commercialise les CloudPets explique que seul « un nombre limité de données d’utilisateurs de CloudPets » ont été accessibles. Les données auraient été stockées sur cette plateforme « temporairement » et que donc Spiral Toys n’a jamais « reçu de demande de rançon. »

Dans leur communiqué les équipes de Spiral Toys disent aussi avoir été averties de la faille « le 22 février ». Pourtant, Troy Hunt indique que plusieurs personnes ont tenté de prévenir la société dès la fin décembre. Victor Gevers a même essayé de les contacter par Twitter.

 

Toujours est-il que cette nouvelle faille ne devrait que conforter les anti-poupées Cayla et Hello Barbie et pointe une nouvelle fois du doigt le manque de sécurité des objets connectés.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider

A VOTRE AVIS...
Offres d'emploi informatique avec  Emploi en France
jooble

Emploi IT

Emploi IT

Avec l’évolution des technologies, portées par le Cloud, les conteneurs, les data sciences et le développement cross-platform, les métiers sont eux aussi amenés à changer. Malt, plate-forme de mise...

Gestion de l'information

Gestion de l'information

La gestion de l’information s’est imposée depuis dix ans comme un pan important de la transformation numérique des entreprises. Comment satisfaire un client si vous ne le connaissez pas finement par des informations...

French Tech FT120

French Tech FT120

83 entreprises sont sélectionnées pour le French Tech 120, où elles siègent aux côtés du Next 40. L’e-santé et le retail y sont surreprésentés, quand la...

AMP

AMP

Lancé par Google, AMP vient récemment de changer de gouvernance. C’est désormais un projet en incubation sous la responsabilité de la fondation OpenJS, elle-même née de la fusion des fondations...

WebAssembly

WebAssembly

Va-t-il réussir là où le Java a échoué ? WebAssembly ne semblait être qu’une solution pour faire tourner du C/C++ dans le navigateur web, une technologie qui séduit et qui pourrait bien avoir...

RSS
Afficher tous les dossiers

COMMUNICATIONS UNIFIÉES : une convergence accrue entre communication et collaboration - Réussir StopCovid ! - Énergie : les datacenters sur le grill - Le lourd poids de la dette technique - GitLab comme solution DevSecOps - Les femmes, avenir de la filière IT ? - Apps de messagerie, attention danger ? - Pôle IA Toulouse...

 

BASES DE DONNÉES : le DBaaS va tout balayer - Gestion de l'information : structurer le non structuré ! - Municipales : la politique se numérise, le numérique se politise - Cybersécurité : les planètes Cyber alignées ! - DevOps : WebAssembly, langage assembleur du Web - AMP confié à OpenJS - Pénurie des formations IA - À la recherche de nouvelles compétences IT...

 

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

Afficher tous les derniers numéros

Malgré des investissements massifs dans le développement à hauteur de près de 4 milliards de dollars l'année dernière, près de la moitié du temps consacré au DevOps est perdu dans la répétition des tâches et dans la logistique. Ceci fait que 90% des entreprises qui ont adopté ces pratiques sont déçues par les résultats, selon une étude publiée par le Gartner.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Tous les Livres Blancs
Derniers commentaires
Un membre de l'équipe du théâtre L'Européen, à Paris, le 18 mai 2020, quelques jours après le déconfinement"Opéra chez soi", "théâtre et canapé": en temps de coronavirus, les théâtres ont donné un accès sans précédent à leurs productions grâce au streaming, tout en espérant que ça ne soit qu'une parenthèse. Mais celle-ci risque d'être longue. [Lire la dépêche...]

une loi sur la désinformation à Singapour Facebook a critiqué lundi la sévérité d'une loi sur la désinformation en vigueur à Singapour, et pointé une menace pour la liberté d'expression, après avoir été de nouveau contraint à bloquer une page dans la cité-Etat. [Lire la dépêche...]

Moe Myint May Thu, 8 ans, vedette des réseaux sociaux grâce à ses cours de cuisine en ligne, le 21 mai 2020 à Rangoun, en Birmanie De la soupe de poisson aux cuisses de grenouille épicées, les cours de cuisine d'une fillette de huit ans en pyjama et charlotte sur la tête fait le bonheur des internautes Birmans, toujours invités à rester chez eux en raison de l'épidémie de coronavirus. [Lire la dépêche...]

Le clash entre Twitter et Donald Trump éclabousse Facebook, en position délicate depuis que son patron, Mark Zuckerberg, a refusé de sanctionner des propos polémiques du présidentLe clash entre Twitter et Donald Trump éclabousse Facebook, en position délicate depuis que son patron, Mark Zuckerberg, a refusé de sanctionner des propos polémiques du président et est désavoué publiquement par des employés - un phénomène rare dans la Silicon Valley. [Lire la dépêche...]

Image transmise par la Nasa de Robert Behnken (2e d) et Doug Hurley (d), à leur arrivée dans l'ISS, avec les autres astronautes de la station spatiale, le 31 mai 2020Les deux astronautes de la Nasa transportés par la capsule de SpaceX sont entrés dimanche dans la station spatiale internationale, une nouvelle étape franchie avec succès pour cette mission qui marque le retour des transports américains vers l'ISS après neuf ans d'interruption. [Lire la dépêche...]

Décollage d'une fusée Soyouz MS-16 transportant les membres de la Station spatiale internationale (ISS), le 9 avril 2020 à BaïkonourLa Russie a réagi dimanche au lancement réussi d'une fusée américaine de SpaceX vers la Station spatiale internationale (ISS), promettant de tester deux nouvelles fusées en 2020 et de reprendre son programme lunaire l'an prochain. [Lire la dépêche...]

L'application StopCovid devrait finalement être disponible à partir du mardi 2 juin à midiL'application de traçage StopCovid, destinée à repérer la propagation du coronavirus, devrait finalement être disponible à partir du mardi 2 juin à midi, a annoncé dimanche le secrétaire d'Etat au Numérique, Cédric O. [Lire la dépêche...]

"Le trampoline fonctionne": Elon Musk, le fondateur de SpaceX qui a envoyé samedi deux astronautes dans l'espace, a répondu au patron de l'agence spatiale russe qui s'était moqué il y a six ans de l'incapacité américaine à mener des vols spatiaux habités. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

BIG DATA

Conférences et exposition sur le Big Data les 14 et 15 septembre 2020 à Paris, Porte de Versailles. Organisé par Corp Agency.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Porte de Versailles les 14 et 15 septembre 2020. Organisé par Corp Agency.

DOCUMATION

Congrès et exposition Documation du 22 au 24 septembre 2020  à Paris Porte de Versailles (Pavillon 4.3). Organisé par Infopromotions.

RSS
Voir tout l'AgendaIT
0123movie