智能玩具引发全民恐慌

仅仅几周前，一款名为“Cayla”的智能玩偶不仅遭到了德国的禁售，也引起了全球各地父母的担忧，他们主要担忧的一个潜在威胁就是：孩子和其他人之间的对话会被记录和转发。 其实，Cayla并不是第一个引发大规模担忧的联网玩具，大概一年多前一款名为“Hello Barbie”的玩具也因为同样的原因登上舆论风口。说实话，智能玩具确实是时代发展衍生的“很酷”的产物，但是我和很多人一样，并不想自己的孩子接触到它们。

近日，联网玩具 CloudPets 的生产商 Spiral Toys同样遭遇数据泄漏事件，泄漏了超过 2 百万儿童及其父母的语音信息，以及超过 80 万电子邮件和密码。

泄漏细节分析

Have I Been Pwned? 的维护者Troy Hunt在其博客上称，Shodan搜索引擎和其它证据显示，在 12 月 25 日 到 1 月 8 日之间 ，多方多次访问了CloudPets客户的数据。他表示，在上周早些时候他就收到了有人发送给他的数据，里面包含大约583k的用户账号记录，这些数据后来被证实属于CloudPets泄漏的部分数据。

【部分泄漏账户】

CloudPets 客户的数据储存在亚马逊的云服务上，不需要身份验证就能访问。而且有趣的是，CloudPets博客自2015年以来就没再更新，并且没有任何关于安全问题的公告。Spiral Toys 的 MongoDB 数据库则由一家罗马尼亚公司 mReady 维护，基本上也没有任何安全防护措施。

再说回给Troy Hunt发送这些数据的人，据称他曾在发现数据泄漏后多次尝试通过电子邮件联系CloudPets告知他们此事，但是最终为得到CloudPets和Spiral Toys的任何回应。

注意上图所示的数据——超过820k的用户数据，这说明Troy Hunt最初收到的583 k数据并不是全部内容。

【CloudPets数据库】

【用户记录821396条】

【语音信息记录2182337条】

给Troy Hunt发送数据的人曾在12月30日联系CloudPets，并发送了如下信息：“我想要通知你，在攻击者扫描因配置不当或是缺乏防火墙保护的MongoDB数据库时，CloudPets的数据库被覆盖了两次。”但是显然CloudPets不仅忽略了他的善意提醒，甚至没有阅读之前发送的电子邮件。

虽然录音不在开放的MongoDB数据库中，但是Spiral Toys使用开放的亚马逊托管服务，不需要身份认证就能够访问录音、用户个人资料、图片、儿童及他们父母的姓名、地址等信息。

据悉，此次遭泄露的密码用bcrypt算法进行了哈希处理，很难破解。但是，由于CloudPets对密码强度没有要求，这意味着即使是诸如“a”这样的单个字符也可以设为密码。 因此，Hunt仅通过猜测诸如“qwerty”、“123456”、“cloudpets”这样的常用组合就破解了大量密码。

【破解的bcrypt哈希】

Hunt在博文中表示：

因为没有任何密码强度的要求，只要有数据任何人都能破解大量密码，登录账户，获取录音。

如何检测？

这个事件再次为智能玩具的安全性敲响了警钟，下一次你还会为你的孩子购买最新的联网智能玩具吗？但是如果您已经拥有CloudPets的账户，建议您登录“Have I Been Pwned?”网站自行检测，该网站收录了所有的泄漏数据，自然也包括CloudPets泄漏的用户帐号。 如果您发现自己的帐户已经遭到泄漏，建议您立即更改密码，并考虑停止使用CloudPets智能玩具。此外，我们还建议您对与CloudPets帐户使用了相同密码的任何其他在线帐户进行修改。

其实，这已经不是第一次联网玩具的信息泄露。2015年世界最大的电子玩具生产商之一伟易达集团（VTech）就曾因黑客攻击，暴露了世界各地约640万儿童的个人资料，包括孩子的姓名、性别、出生日期、照片以及父母信息、家庭住址、聊天记录等。智能玩具以及MongoDB数据库的安全性问题开始成为考验用户和安全专家的又一重要命题。