Són gossos, gats, óssos, elefants i fins i tot unicorns. Els peluixos de la marca Cloud Pets estan pensats perquè els nens no se sentin sols mai: gràcies a una aplicació per al mòbil, els pares poden gravar la seva veu i reproduir-la mitjançant el peluix. Com el ninot no distingeix entre les paraules d’un adult i un menor, els petits també poden gravar-se i escoltar-se després, com si l’animal parlés.
Sembla divertit, però no ho és tant si tenim en compte que més de dos milions d’aquests enregistraments circulen per Internet. Els acompanyen 820.000 credencials, les dades que els pares i mares utilitzen per accedir a l’app des del seu smartphone i que inclouen nom, cognoms, adreces de correu, número de telèfon o nom del nen.
Les contrasenyes, tot i estar xifrades, eren insegures. I és que per molt que s’utilitzi un programari de xifrat, si el que es vol xifrar és “123456” o “password”, no li costarà gaire temps a un professional fer-se amb les dades.
Encara que Hunt no sap des de quan hi ha les 820.000 credencials a l’aire, situa el Nadal com a punt d’inici. La base de dades estava mal configurada i mal protegida en el domini que comunicava directament l’app del mòbil amb els servidors de la companyia. Així que totes les connexions que es realitzaven a través del port 2701 entraven a la base de dades sense cap tipus d’autenticació prèvia.
Contrassenyes d’una lletra
Perquè el peluix parli cal descarregar-se una app al telèfon. Després cal crear-se un compte i en darrer lloc cal aparellar al ninot amb el dispositiu. La comunicació es realitza a través d’una web de Spiral Toys, la companyia propietària de Cloud Pets, que al seu torn opera sota un domini d’una empresa romanesa anomenada mReady. És a aquest web a la que en última instància es connecta l’app, la mateixa que conté la base de dades MongoDB i que al seu torn emmagatzemava els 2,2 milions d’enregistraments o les fotos de perfil dels comptes dels pares i els seus fills en un servidor d’Amazon Cloud.
La base de dades de MongoDB contenia dues bases de dades més, cadascuna amb prop de 10 gigabytes d’informació. Spiral Toys no posava cap tipus de requisit per crear la contrasenya del compte en l’app, així que aquestes podien contenir un caràcter, dos, tres o vint, arribat el cas.
Que puguin ser tan curtes és desastrós, ja que si algú vol atacar una base de dades, tan sols en té prou amb utilitzar una base de dades de contrasenyes habituals. De fet, des de finals de l’any passat fins a la meitat de gener (el temps que la bretxa de seguretat ha estat oberta) han entrat dos investigadors en ciberseguretat i incomptables pirates, segons Hunt. Tots han pogut baixar-se els més de dos milions d’enregistraments i les prop de 820.000 credencials d’un sol cop de ratolí.
eldiario.es s’ha intentat posar en contacte amb la companyia. Mentre que el correu electrònic de contacte que figura al web de Cloud Pets està trencat, desde Spiral Toys asseguren que estan duent a terme una investigació interna. “Vam invalidar immediatament totes les contrasenyes dels nostres clients per assegurar-nos que no es pugui accedir a aquesta informació”, explica Harold Chizick, un representant de la companyia. “Fins on sabem, no podem detectar cap bretxa en els nostres missatges ni en les imatges, ja que totes les dades estaven xifrades”, continua Chizick. Spiral Toys també ha demanat als seus clients que augmentin la seguretat de les seves contrasenyes.
Per la seva banda, Hunt va contactar amb la companyia en nombroses ocasions per preguntar si tenien constància que la seva base de dades va ser esborrada i segrestada amb ransomware diverses vegades, també per si sabien que els hackers que ho van fer els demanaven un bitcoin per restaurar-la. Però li han fet cas omís.
Ha estat aquest dilluns quan Spiral Toys (que per cert es troba en fallida), a través del seu conseller delegat, Mark Myers, ha parlat. “De cap manera han estat robades les gravacions”, diu. D’això, Hunt en dubta. El directiu també assegura no haver tingut constància dels avisos de Hunt ni d’altres experts en ciberseguretat, però la veritat és que tant ell com els seus col·legues han intentat contactar amb la companyia des de nadal de l’any passat.
A El Corte Inglés per 20 euros
A Espanya, els Cloud Pets es venen a El Corte Inglés per una mica menys de 20 euros. També estan disponibles a través d’Amazon. Des de l’OCU (Organització de Consumidors i Usuaris), igual que en el cas de la nina Cayla (que va ser prohibida a Alemanya fa una setmana), demanen que “les autoritats europees investiguin els fets i prenguin totes les mesures necessàries per garantir la seguretat i la privacitat dels menors”. A més, també recomanen als pares no comprar aquest tipus de joguines.
Fa un any, eldiario.es ja va informar d’uns óssos de peluix de Fisher Price que havien exposat les dades dels nens a Internet, encara que el cas més sonat es remunta a novembre de 2015, quan més de 200.000 infants i cinc milions de pares van veure com un hacker denunciava les pèssimes mesures seguretat de servidors de la marca de joguines VTech.
