Jouet connecté : après un piratage, les données de 800000 familles fuitent sur le web

La société américaine Spiral Toys va regretter d’avoir pris à la légère la sécurité des objets connectés d’une part, mais aussi d’avoir omis de prévenir ses utilisateurs que ses produits avaient été piratés et qu’un important volume de données avait fuité sur le web.

Piratage de la gamme de jouets connectés Cloudpets de Spiral Toys

Les piratages d’objets connectés sont de plus en plus fréquents en raison du peu d’investissements dans ce domaine par certaines entreprises, qui préfèrent consacrer leurs moyens pour le marketing de leurs produits afin d’être les premiers à les proposer sur le marché. Le problème, c’est que cette fois cela touche une niche très sensible, celle des enfants, car Spiral Toys est un spécialiste des jouets connectés.

Jouets connectés : la gamme Cloudpets de Spiral Toys a été piratée

Plus de 800000 comptes ont été piratés avec les informations qui y sont liées et plus de 2,2 millions de messages vocaux se retrouvent également sur la toile. Les peluches connectées de la marque permettait en effet aux parents et aux enfants de s’échanger des messages par le biais d’une application téléphonique, à travers l’ours en peluche.

Des personnes mal intentionnées peuvent désormais disposer d’informations sur les parents (identifiants, mail, mot de passe, adresse, etc.), mais également aux conversations qui ont eu lieu entre les parents et leurs enfants. Consciente de l’énorme problème auquel l’entreprise pouvait avoir à faire face, Spiral Toys a tout simplement pris le parti de ne pas prévenir les utilisateurs du piratage avant que les données ne soient en ligne et qu’il ne soit trop tard.

Des clients mis à l’écart et des mots de passe probablement compromis

Troy Hunt, le spécialiste qui a mis à jour cette histoire est abasourdi par le manque de sérieux d’un acteur qui travaille pourtant sur une niche d’utilisateurs très sensible. L’expert  rapporte que plusieurs autres spécialistes en sécurité avaient tenté de contacter la société pour l’informer de la faille de sécurité sur les bases MongoDB, mais que l’entreprise n’aurait jamais daigné répondre à un seul d’entre eux.

Autre preuve de ce laxisme, les générateurs de mots de passe de chez Spiral Toy ne définissait aucune règle restrictive, on peut donc imaginer que ces derniers devaient être extrêmement simples, surtout pour un jouet connecté. L’entreprise n’ayant pris aucune mesure pour inviter les utilisateurs à changer de mot de passe après le piratage, il ne fait aucun doute que des milliers de comptes sont aujourd’hui totalement vulnérables et que les parents ne sont pas du tout au courant du risque d’espionnage dont pourrait être victime leur famille.

Source