CloudPets: IoT-Spielzeuge fordern Lösegeld

Screenshot: Produktwebseite
Screenshot: Produktwebseite

Nur knapp zwei Wochen nachdem die „smarte Puppe“ Cayla in Deutschland verboten worden ist, verlangen Spielzeuge mit Internetanschluss der anderen Herstellerfirma CloudPets Lösegeld. Der Hersteller gab unverschlüsselten Zugang auf seine Datenbank und ermöglichte so, dass die Audio-Aufnahmen durch die Puppe abrufbar waren. Dies berichtet der Sicherheitsexperte Troy Hunt.

Die Hacker konnten durch die Internet-of-Things-Suchmaschine Shodan auf die IP-Adresse des Servers von CloudPets zugreifen, durch diese Informationen Audio-Aufnahmen der Geräte abrufen und schließlich in unterschiedlichen Höhen Lösegeld verlangen. Laut Hunt wurde dieser Hack von mehreren Akteuren ausgenutzt.

Hunt hinterfragt dazu CloudPets‘ Krisenmanagement: Der Hersteller wusste anscheinend schon vor Hunts Bekanntmachung von dem Problem. Dazu wurden die Eltern, welche diese Teddy-Bären kauften, über die gravierende Sicherheitslücke nicht benachrichtigt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Leider eine irreführende Überschrift.

    – Nicht die Spielzeuge fordern Lösegeld,
    – auch nicht der Hersteller fordert Lösegeld,
    – HACKER fordern Lösegeld vom Hersteller!

    Richtiger wäre also die Überschrift „CloudPets: IoT-Spielzeughersteller erhält Lösegeldforderungen“
    Nicht so knackig, aber ich erwarte von euch mehr Qualität als von den Clickbait-Klitschen. Wenn ihr es prägnanter haben wollt, warum nicht „CloudPets: IoT-Spielzeug wird erpresst“?

    1. Ich habe den Artikel eher dahingehend verstanden, dass die Kunden von den Hackern erpresst werden. Da müssten die die Erpressung ja quasi über den Lautsprecher der Spielzeuge abgespielt haben.

      1. Die Lösegeldforderungen wurden in der Datenbank des Herstellers hinterlassen, wie Hunt schreibt:

        Jan 7: The original databases were deleted and a ransom demand was left on the exposed system via the IOC named „PLEASE_READ“

      2. Davon ist in der Quelle keine Rede. Der Hersteller wird erpresst, deren Datenbank war öffentlich lesbar, wurde kopiert, anschließend gelöscht und auf dem System eine Lösegeldforderung hinterlassen: „wir haben eure Datenbank, überweist 1BTC …“

        Auch wenn es theoretisch denkbar wäre, dass Besitzer des Spielzeugs ebenfalls mit ihren Daten erpresst werden, darüber steht in der Quelle von Troy Hunt nichts.

    2. Aber der Artikel hat ja auch gar nichts mit Ostern zu tun. Nicht einmal in der Überschrift findet sich ein Bezug auf Ostern. Oder haben die auch Osterhasen hergestellt? Und wird der jetzt auch erpresst? Muss Ostern jetzt ausfallen? :P

  2. Ja, der Artikel ist tatsächlich missverständlich geschrieben. Zuerst las es sich so, als ob der Hersteller aus „Rache“ über das Verbot des Spielzeugs den Zugang zu der Datenbank ermöglichte.

    1. noch ein missverständlicher aspekt des artikels: das spielzeug das verboten wurde hat nichts mit dieser firma zu tun.

        1. Er Artikel ist aber immer noch inhaltlich falsch. (Bisher) wurde keiner der Spielzeugnutzer erpresst (schon gar nicht vom eigenen Spielzeug). Daher ist der Satz

          verlangen Spielzeuge mit Internetanschluss der anderen Herstellerfirma CloudPets Lösegeld

          BTW: Es dürfte mehr als zwei Anbieter solcher Spielzeuge geben, so dass „die andere Herstellerfirma“ auch nicht gerade als korrekt anzusehen ist.

          Und weil wir gerade dabei sind:

          Der Hersteller gab unverschlüsselten Zugang auf seine Datenbank und ermöglichte so, dass die Audio-Aufnahmen durch die Puppe abrufbar waren.

          Die Audiodaten (und die Profilbilder) sind auch weiterhin abrufbar, da diese auf einem Amazon-S3-Server ungeschützt abgelegt sind. Nur der komplexe Dateiname schützt diese Daten, der stand aber in der Datenbank drin.

          Die Hacker konnten durch die Internet-of-Things-Suchmaschine Shodan auf die IP-Adresse des Servers von CloudPets zugreifen, durch diese Informationen Audio-Aufnahmen der Geräte abrufen und schließlich in unterschiedlichen Höhen Lösegeld verlangen.

          Das klingt wieder so, als ob die Besitzer der Spielzeuge erpresst wurden. In Wirklichkeit waren das unterschiedliche Hackergruppen, die jeweils dem Hersteller eine Erpressernachricht zukommen liessen. Die waren alle der Art „wir haben deine Datenbank. Wenn du sie wiederhaben willst, sende uns X“.

  3. Ach übrigens…
    Auch „Spielzeuge“ für Erwachsene, Sprachassistenten wie Alexa, Cortana, Siri, Google Now, senden Sprachaufzeichnungen ins Internet; meist an ausländische Unternehmen. Und in Gegenwart eines Samsung Fernsehers sollte man auch keine allzu privaten Gespräche führen, steht in der Anleitung.
    Das wollte ich nur nochmal erwähnen.

  4. Wenn die Puppe vom Kind per Sprachnachricht Lösegeld fordert ist das was anderes als der Hacker vom Hersteller…

  5. Wenn der internetfähige Hase das aussereheliche Rammeln der Hausherren/in gefilmt hat und diese Aufzeichnungen gehackt wurden,so dürfte für einige Freunde der Lust zu Ostern die Petersilie verhagelt worden sein.
    In Anlehnung an einen Iggy Pop/Stooges Hit „No Fun my Babe,No Fun „

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.