聪明的泰迪熊涉及有争议的数据泄漏
发布时间:2022-02-23 12:28:07 所属栏目:要闻 来源:互联网
导读:如果您拥有来自CloudPets的填充动物,那么您最好将密码更改为产品。玩具 - 可以接收和发送来自儿童和父母的语音消息 - 已经参与了涉及超过800,000名用户帐户的数据漏洞。周一抓住了头条新闻的违规行为正在提高安全研究人员的担忧,因为它可能会让黑客访问玩
|
如果您拥有来自CloudPets的填充动物,那么您最好将密码更改为产品。玩具 - 可以接收和发送来自儿童和父母的语音消息 - 已经参与了涉及超过800,000名用户帐户的数据漏洞。周一抓住了头条新闻的违规行为正在提高安全研究人员的担忧,因为它可能会让黑客访问玩具客户的录音。但公司背后的公司螺旋玩具,否认任何客户被黑客攻击。“是被盗的录音吗?绝对不是,“公司首席执行官Mark Meyers说。 追踪数据泄露的安全研究员特洛伊亨特将事件带入星期一。黑客似乎已经访问了一个公开的CloudPets“数据库,其中包含了电子邮件地址和哈希密码,他们甚至试图在1月份赎金,他在博客帖子中说。他补充说,该事件强调了连接设备的危险,包括玩具,以及如何暴露通过它们的数据如何暴露。 [进一步阅读:在这里“为什么科技玩具是危险的”在CloudPets的情况下,据称,该品牌据称在公开公开的在线MongoDB数据库中存储客户信息,无需进行身份验证。允许任何包括黑客,包括黑客的人查看和窃取数据。在加方面,用Bcrypt算法散列暴露在漏洞中的密码,使它们难以破解。不幸的是,CloudPets没有对密码强度的要求,这意味着亨特凭据据狩猎,甚至是字母“A”的单一角色也是可以接受的,这是上周被盗数据的副本。因此,通过仅对QWERTY,123456和Cloudpets等共同术语来检查它们,Hunt能够解密大量密码。 “任何有数据的人都可以破解大量密码,登录帐户并下拉语音录制,”亨特在他的博客文章中说。从GDI基金会的安全研究员Victor Gevers表示,他还发现了来自CloudPets的公开数据库,并试图在12月底与玩具制造商联系。 然而,GEVERS和HUNT都表示,该公司从未回应过重复的警告。周一,加利福尼亚州为基于Cloudpets品牌的螺旋玩具,声称公司从未收到警告。 “说,说在互联网上泄露200万条消息的头条新闻完全是假的,”迈耶斯说。在副媒体从上周联系他们后,他的公司只有意识到这个问题。“我们看着它,并认为这是一个非常微不足道的问题,”他说。他说,只有一个恶意演员才能访问客户的语音录制,仅当他们设法猜测密码时,他说。 “我们必须找到平衡,”迈耶斯说,当他解决玩具制造商缺乏密码强度要求时。“多少是太多了?”他还说,螺旋玩具将其服务器管理外包给第三方供应商。1月份,该公司实施了MongoDB所要求的更改,要求增加服务器的安全性。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
