Los peluches de la marca Cloud Pets están pensados para que el niño no se sienta solo nunca: gracias a una aplicación para el móvil, los padres pueden grabar su voz y reproducirla a través del peluche.Parece divertido, pero no lo es tanto si tenemos en cuenta que más de dos millones de estas grabaciones circulan por Internet. Les acompañan 820.000 credenciales, los datos que los padres y madres utilizan para acceder a la app desde su smartphone y que incluyen nombre, apellidos, direcciones de correo, número de teléfono o nombre del niño.
Troy Hunt, una de las eminencias mundiales en cuestión de ciberseguridad explica que las credenciales de los padres se almacenaban en una base de datos MongoDB protegida por bcrypt, un software de cifrado. Sin embargo, un gran número de ellas (millones) eran tan débiles que era muy fácil crackearlas pese a estar cifradas.
La base de datos estaba mal configurada y mal protegida en el dominio que comunicaba directamente la app del móvil con los servidores de la compañía. Así que todas las conexiones entraban a la base de datos sin ningún tipo de autenticación previa.
Contraseñas de una letra
La app para móvil se conecta a la web mReady y es la que contiene la base de datos MongoDB y que a su vez almacenaba los 2,2 millones de grabaciones o las fotos de perfil de las cuentas de los padres y sus hijos en un servidor de Amazon Cloud.
La base de datos de MongoDB contenía otras dos bases de datos, cada una con cerca de 10 gigabytes de información.
La app para móvil se conecta a la web mReady y es la que contiene la base de datos MongoDB y que a su vez almacenaba los 2,2 millones de grabaciones o las fotos de perfil de las cuentas de los padres y sus hijos en un servidor de Amazon Cloud.
La base de datos de MongoDB contenía otras dos bases de datos, cada una con cerca de 10 gigabytes de información.
Desde Spiral Toys aseguran estar llevando a cabo una investigación interna. "Invalidamos inmediatamente todas las contraseñas de nuestros clientes para asegurarnos de que no se pueda acceder a esa información", explica Harold Chizick, un representante de la compañía. "Hasta donde sabemos, no podemos detectar ninguna brecha en nuestros mensajes ni en las imágenes ya que todos los datos estaban cifrados", continúa Chizick. Spiral Toys también ha pedido a sus clientes que aumenten la seguridad de sus contraseñas.
Este caso se suma a la muñeca Carla, a otro oso de peluche de Fisher Price o las denuncias de las pésimas medidas seguridad de los servidores de la marca de juguetes VTech.
Fuente: El diario.es
