Erst Puppen, jetzt Teddybären: IoT-Spielzeuge geben Kinderdaten online preis
Ja, 2016 war alles andere als ein Jahrgang, aber es scheint, dass die Gefahren des Jahres 2017 weitaus heimtückischer sind. In jüngster Zeit kam es zu einer Reihe von Vorfällen, bei denen das Internet der Dinge schiefging und Kinder häufig Opfer mangelnder Sicherheit wurden. Zuletzt kam die Nachricht, dass der CloudPets IoT-Teddybär zwei Millionen Sprachaufzeichnungen von Kindern online offengelegt hat.
Nach Angaben eines Sicherheitsforschers lagen die Daten vom 25. Dezember 2016 bis zum 8. Januar dieses Jahres ungeschützt in einer öffentlich zugänglichen MongoDB-Datenbank Troy Hunt – Daten, zu denen die E-Mail-Adressen und Passwörter von über 800.000 Benutzerkonten gehörten. Wie vorherzusehen war, wurden die Daten von verschiedenen Dritten, darunter auch Hackern, ausgenutzt, von denen viele sie als Lösegeld erpressten. Bitcoin-Lösegeld, also die Beute des Internetzeitalters.
Siehe Verwandte
Amazon Echo versucht, Puppenhäuser in ganz San Diego zu bestellen
Was die Schadensbegrenzung betrifft, so gab es diese nicht. Spiral, das Unternehmen, das die Bären herstellt, ist mit in die Vergessenheit geraten Engadget berichten, dass ihr Aktienkurs so gut wie wertlos sei. Sie müssen den Verstoß noch bestätigen, obwohl sie von einer Reihe von Sicherheitsexperten kontaktiert wurden, um sie auf die Sicherheitslücke aufmerksam zu machen. IB-Zeiten sprach mit Victor Gerver, dem Gründer der GDI Foundation, die Online-Sicherheitsopfer unterstützt, der sich Mühe gab, den Vorfall zu beheben, indem er sich an Spiral wandte: „Ich habe versucht, per E-Mail, Linkedin, Zendesk und Twitter Kontakt aufzunehmen. Ich habe sogar versucht, die Leute über die private E-Mail zu erreichen. Ich habe nie eine Antwort bekommen“, beklagte er.
In der Zwischenzeit hat die Sicherheit von Rapid7 mit gesprochen Engadget, wobei Forschungsdirektor Tod Beardsley ungläubig kommentierte, dass Spiral „einzigartig uninteressiert“ schien, die Sicherheitslücke zu schließen. Er sagte, dass es „immer seltener“ vorkomme, dass ein Unternehmen seine Sicherheitsmängel nicht behebe, wobei etwa 70 % der Unternehmen erneut Kontakt aufnähmen, um einen Wiederherstellungsplan auszuarbeiten.
Der Vorfall mit Cloud Pets reiht sich in die Reihe der jüngsten Sicherheitslücken im Zusammenhang mit Kindern und dem Internet der Dinge ein. Anfang Januar bestellte Amazons Alexa auf zufällige Anfrage eines Sechsjährigen ein Puppenhaus für 160 Pfund. Für sich genommen war dies kein großes Problem; Die KidKraft Sparkle Mansion wurde einem örtlichen Kinderkrankenhaus gespendet, Amerika gurrte das kleine Mädchen an und ihre Eltern erfanden ihrerseits eine amüsante Dinnerparty-Geschichte. Was es auslöste – eine Flut von KidKraft Mansion-Bestellungen in ganz San Diego über eine lokale Nachrichtenmeldung, die im selben Raum wie die Alexa-Geräte der Leute lief – war problematischer.
Noch problematischer war der Rückruf und die geforderte Vernichtung – ja, Vernichtung – von Cayla-Puppen in ganz Deutschland, unter der Befürchtung, dass die kluge Puppe Kinder ausspioniert, wie der gruselige Stoff aus Horrorfilm-Albträumen. Deutsche Aufsichtsbehörden gaben bekannt, dass Cayla als „illegaler Spionageapparat“ eingestuft wurde, der die Sicherheit von Kindern gefährdete.
Vergessen Sie „Kinder sollten gesehen und nicht gehört werden“. Kinder sollten weder gesehen noch gehört werden, noch sollten ihre Daten online der Manipulation Dritter durch Werbetreibende oder Hacker ausgesetzt werden. Spielzeughersteller sollten bei der Speicherung und Sicherung von Kinderdaten weitaus wachsamer vorgehen. Wenn der unbestechliche Teddybär dem Internet der Dinge zum Opfer fällt, wissen Sie, dass es zu weit gegangen ist.