安全研究

业界动态
黑客入侵泰迪熊并要求CloudPets支付赎金 80多万用户账号受影响 物联网设备真是不安全

黑客就在你孩子的身边,黑客已经入侵了泰迪熊。奥,这里说的泰迪熊不是某个黑客组织代号,说的就是你孩子手里的玩具泰迪熊。若你的填充玩具动物下载自CloudPets,请立刻更改密码。CloudPets提供的玩具用于收发孩子与家长之间的语音消息,但这些玩具最近卷入数据泄露事件,影响到80多万用户账号。   

CloudPets坚决否认数据泄露   

这一事件成为周一的头条新闻,受到安全研究人员关注,他们担心黑客窃取了玩具用户的录音数据。但是产品生产商Spiral Toys否认任何用户数据被窃取。公司CEO Mark Myers说:   “有人窃取了录音数据?绝对没有!”    

安全研究人员Troy Hunt专门追踪数据窃取事件,周一公布了这一事件。他在博文中叙述道,黑客看似进入了CloudPets的一个公开数据库,里面含有Email地址与哈希密码;他们在1月份时甚至要求对方支付赎金以找回信息。   

事件再次表明联网设备(包括玩具)不安全,通过这些设备传递的数据可能会泄露。   

泄露原因是因为 用户信息被存放到开放数据库中   

在CloudPets这一事件中,据说该公司错误地将用户信息储存到了一个面向公众的在线MongoDB数据库中,这个数据库无需验证,可直接访问。如此一来,任何人(包括黑客)都可以查看甚至窃取数据。   

乐观一点说,遭泄露的密码用bcrypt算法进行了哈希处理,很难破解。可是,根据Hunt上周获取的一份窃取数据,CloudPets对密码强度没有要求,这意味着即使是诸如“a”这样的单个字符也可以设为密码。   

因此,Hunt仅通过猜测诸如“qwerty”、“123456”、“cloudpets”这样的常用组合就破解了大量密码。Hunt在博文中表示,   “只要有数据,任何人都能破解大量密码,登录账户,获取录音,”    

GDI基金会的安全研究员Victor Gevers表示,他也发现了CloudPets的公开数据库,12月底时曾试图联系这家公司。然而,Gevers和Hunt都反映,公司对于他们的反复警告充耳不闻。   

周一,运营CloudPets品牌、位于加利福尼亚的Spiral Toys公司声称公司从未接到任何警告。Myers反驳说:   “新闻中说网上泄露了200万条消息,完全是不实信息。”    

上周Vice Media的一位记者联系了他们,这时他们才知道有这回事。他说:“  我们进行了调查,结论是这件事情微不足道。”据他所说,恶意攻击源在猜到密码后只能获取用户的录音。谈到公司缺乏密码强度要求时,他回应:   “我们必须找到平衡。到底多强才算强?”    

他补充说,Spiral Toys将服务器管理外包给了第三方服务商。1月份,公司按照MongoDB的要求进行了改动,以提高服务器的安全性。   

MongoDB数据库安全性再次被公众关注   

Spiral Toys并不是唯一一家被攻击的公司。最近几个月来,数个黑客组织攻击了数以千计的开放MongoDB数据库。他们先是清除数据,然后表示可以恢复,但是受害者必须支付赎金。   

Hunt发现,在CloudPets事件中,多个黑客似乎删除了原始数据,在系统上留言索要赎金。Hunt说,虽然CloudPets的数据库目前已不对外开放,但是公司并未通知客户该事件。危险在于黑客可能会利用窃取数据入侵用户的玩具账户。   

不过Myers称,公司并未发现任何证据表示黑客入侵了用户账户。为了保护用户安全,公司计划重置所有用户密码。“也许我们会使用更复杂的密码,”他说。   

 之前安全加曾报道过两次,勒索软件攻击大数据平台的事件   

 

MangoDB的安全性   

像许多的开源软件一样,MangoDB默认情况下是没有用户名和密码的,并且也没有开启任何安全性验证,默认通信端口27017。官方网站给出了安全检查表,但大多数编程人员对此事并不上心。   

在这个方面,绿盟科技曾经在          物联网安全白皮书         中提到,物联网设备制造商并没有很强的安全背景,也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点:   

  1. 一是提供安全的开发规范,进行安全开发培训,指导物联网领域的开发人员进行安全开发,提高产品的安全性;    
  2. 二是将安全模块内置于物联网产品中,比如工控领域对于实时性的要求很高,而且一旦部署可能很多年都不会对其进行替换,这是的安全可能更偏重于安全评估和检测,如果将安全模块融入设备的制造过程,将能显著降低安全模块的开销, 对设备提供更好的安全防护;    
  3.  三是对出厂设备进行安全检测,及时发现设备中的漏洞并协助厂商进行修复。    
本文由:csoonline 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/teddy-bear-hacked-and-asked-to-pay-a-ransom
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭