App-teddybeer lekt 2 miljoen gesprekken

4 reacties

Ken je de grap “The S in IoT stands for Security“…? Inderdaad, er zit helemaal geen S in de afkorting voor Internet of Things. En ook geen tot weinig security, bewijst CloudPets vandaag. Een teddybeer met app die ouders met hun kind liet communiceren is gehackt.

De database met e-mailadressen en wachtwoorden van gebruikers en de berichten die ouders voor hun kind inspraken was openbaar toegankelijk. 800.000 accounts en 2 miljoen gesprekken liggen op straat.

Fuck it, ship it

Via de app van de teddybeer konden (groot)ouders een bericht voor hun kind inspreken. Het kind kon ook antwoorden door in de hand van de beer te knijpen. Het bericht werd dan in de app bezorgd. De app maakte gebruik van de MongoDB database, dat na installatie standaard onbeveiligd is. Een systeembeheerbeer moet zelf de beveiliging instellen.

Je raadt het niet: de incompetente hipsters die MongoDB in plaats van MySQL -dat standaard wel veilig is- wilden gebruiken (dit heb je nooit gelezen ;-)) bij CloudPets was men dat even vergeten. Deze mentaliteit wordt wel eens omschreven als “Fuck it, ship it.” oftewel: als het werkt is het goed genoeg. Want wat kan er ook fout gaan? Het gevolg was dat iedereen via internet op de database in kon loggen en alle data kon downloaden.

De database was voor iedereen toegankelijk zonder gebruikersnaam en wachtwoord.

Wachtwoorden versleuteld

De wachtwoorden werden versleuteld opgeslagen, waardoor deze moeilijk te kraken zijn. Toch wordt alle gebruikers van CloudPets aangeraden hun wachtwoord te wijzigen. In Nederland werden de knuffels met app door slechts één webshop verkocht.

Het Internet of Things is tot nu een grote beveiligingsramp. In september schreven we over gehackte IP-camera’s die een webhost aanvielen. Later is dezelfde truc ingezet om het blog van een beveiligingsonderzoeker en internetdienst DynDNS aan te vallen. Fabrikanten brengen graag snel goedkope producten met app-besturing op de markt. Apple lijkt vooralsnog de enige die het rustig aan doet en strenge eisen stelt aan apparaten die compatibel met HomeKit zijn. (Zie → HomeKit: 100 gecertificeerde apparaten, allemaal veilig)

Reacties

4 reacties
  • Profielfoto
    monstergup

    “de incompetente hipsters die MongoDB in plaats van MySQL -dat standaard wel veilig is- wilden gebruiken (dit heb je nooit gelezen ;-)) ”
    (y):lol:

  • Profielfoto
    Ziegler

    In ‘the internet of things’ staat wel een ‘s’.

  • Profielfoto
    Ziegler

    “What does the “S” in IoT stand for?”

    “There isn’t an “s” in IoT.”

    “Exactly.”

  • Profielfoto
    Vilscon

    “What does the “S” in IoT stand for?”

    “There isn’t an “s” in IoT.”

    “Exactly.”

    Tuurlijk, herhaal de eerste alinea gewoon even. Gewoon omdat het kan?