Cloudpets Hackeados

Todo mundo quiere darle a sus pequeños los mejores obsequios, pero pocos piensan en los riesgos de seguridad que esto podría suponer, después de todo los dispositivos de la IoT son los más vulnerables. Hace sólo una semana, la muñeca Cayla fue retirada de los anaqueles en Alemania precisamente por suponer un riesgo dado lo vulnerable que es su sistema. Ahora, son los osos de peluche conectado a la nube, los CloudPets, que se enfrentan a la controversia luego de haber dejado expuestas 800,000 cuentas de usuarios y cerca de 2 millones de mensajes de voz.

Los CloudPets, se promocionan como juguetes que, a través de un servicio conectado a la nube, permiten a familiares enviar y recibir mensajes de voz usando los osos de peluche como intermediario. Es así cómo funcionan:

El problema sin embargo, ha sido que Spiral Toys, la empresa detrás de ClouPets, almacenaba la base de datos de usuarios en un servidor que no estaba protegido ni por un firewall ni por contraseñas. Las bases de datos, en MongoDB, fueron extraídas por hackers y algunos investigadores de seguridad informática que rápidamente dieron aviso a Spiral Toys. El tiempo de respuesta sin embargo, fue muy lento y no se sabe por cuánto tiempo las bases estuvieron expuestas.

Según cuenta Troy Hunt, experto en seguridad informática y administrador del sitio Have I Been Pwned, ha tenido acceso a una copia de la base de datos que circula en la Dark Web, y este asegura que afortunadamente las más de 800,000 cuentas de usuarios están aseguradas con bcrypt, lo que hace muy difícil que puedan ser crackeadas. Sin embargo, ya que los hackers disponen de los emails de esas cuentas y las mismas tiene contraseñas muy débiles, es posible que un gran número logren ser hackeadas por fuerza bruta.

Robot rompe lata de repelente para osos y manda a trabajadores de Amazon al hospital

Una vez hackeadas las cuentas, acceder a los mensajes de voz almacenados en el servicio es cosa fácil, representando un serio problema para la seguridad de los usuarios de CloudPets.

Lo peor de todo es la postura de la gente de Spiral Toys, quienes sugieren que se trata de un incidente menor y desestimando el hecho de que circulan en la red 800,000 cuentas de usuarios y 2 millones de grabaciones de voz están expuestas. Esto deja claro eso sí, la relevancia que supone para los desarrolladores preocuparse por la seguridad de los dispositivos de la IoT. Si bien el peluche no fue el origen de la filtración, la infraestructura que lo respalda era muy frágil.

Como precaución, se recomienda que todos los clientes de Cloud Pets, verifiquen que si sus cuentas han sido expuestas utilizando el servicio de Troy Hunt, Have I Been Pwned. Además, se recomienda cambiar a lo inmediato la contraseña de esta cuenta y todas en las que se utilizó la misma.

Más en TekCrispy