Nur knapp zwei Wochen nachdem die „smarte Puppe“ Cayla in Deutschland verboten worden ist, verlangen Spielzeuge mit Internetanschluss der anderen Herstellerfirma CloudPets Lösegeld. Der Hersteller gab unverschlüsselten Zugang auf seine Datenbank und ermöglichte so, dass die Audio-Aufnahmen durch die Puppe abrufbar waren. Dies berichtet der Sicherheitsexperte Troy Hunt.
Die Hacker konnten durch die Internet-of-Things-Suchmaschine Shodan auf die IP-Adresse des Servers von CloudPets zugreifen, durch diese Informationen Audio-Aufnahmen der Geräte abrufen und schließlich in unterschiedlichen Höhen Lösegeld verlangen. Laut Hunt wurde dieser Hack von mehreren Akteuren ausgenutzt.
Hunt hinterfragt dazu CloudPets’ Krisenmanagement: Der Hersteller wusste anscheinend schon vor Hunts Bekanntmachung von dem Problem. Dazu wurden die Eltern, welche diese Teddy-Bären kauften, über die gravierende Sicherheitslücke nicht benachrichtigt.
Ergänzungen
Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.
15 Kommentare zu „CloudPets: IoT-Spielzeuge fordern Lösegeld“
,
Leider eine irreführende Überschrift.
– Nicht die Spielzeuge fordern Lösegeld,
– auch nicht der Hersteller fordert Lösegeld,
– HACKER fordern Lösegeld vom Hersteller!
Richtiger wäre also die Überschrift „CloudPets: IoT-Spielzeughersteller erhält Lösegeldforderungen“
Nicht so knackig, aber ich erwarte von euch mehr Qualität als von den Clickbait-Klitschen. Wenn ihr es prägnanter haben wollt, warum nicht „CloudPets: IoT-Spielzeug wird erpresst“?
,
Muss dem zustimmen.
,
Ich habe den Artikel eher dahingehend verstanden, dass die Kunden von den Hackern erpresst werden. Da müssten die die Erpressung ja quasi über den Lautsprecher der Spielzeuge abgespielt haben.
,
Die Lösegeldforderungen wurden in der Datenbank des Herstellers hinterlassen, wie Hunt schreibt:
,
Davon ist in der Quelle keine Rede. Der Hersteller wird erpresst, deren Datenbank war öffentlich lesbar, wurde kopiert, anschließend gelöscht und auf dem System eine Lösegeldforderung hinterlassen: „wir haben eure Datenbank, überweist 1BTC …“
Auch wenn es theoretisch denkbar wäre, dass Besitzer des Spielzeugs ebenfalls mit ihren Daten erpresst werden, darüber steht in der Quelle von Troy Hunt nichts.
,
Aber der Artikel hat ja auch gar nichts mit Ostern zu tun. Nicht einmal in der Überschrift findet sich ein Bezug auf Ostern. Oder haben die auch Osterhasen hergestellt? Und wird der jetzt auch erpresst? Muss Ostern jetzt ausfallen? :P
,
Ja, der Artikel ist tatsächlich missverständlich geschrieben. Zuerst las es sich so, als ob der Hersteller aus „Rache“ über das Verbot des Spielzeugs den Zugang zu der Datenbank ermöglichte.
,
noch ein missverständlicher aspekt des artikels: das spielzeug das verboten wurde hat nichts mit dieser firma zu tun.
,
Das wurde nun präzisiert, danke für den Hinweis!
,
Er Artikel ist aber immer noch inhaltlich falsch. (Bisher) wurde keiner der Spielzeugnutzer erpresst (schon gar nicht vom eigenen Spielzeug). Daher ist der Satz
verlangen Spielzeuge mit Internetanschluss der anderen Herstellerfirma CloudPets Lösegeld
BTW: Es dürfte mehr als zwei Anbieter solcher Spielzeuge geben, so dass „die andere Herstellerfirma“ auch nicht gerade als korrekt anzusehen ist.
Und weil wir gerade dabei sind:
Der Hersteller gab unverschlüsselten Zugang auf seine Datenbank und ermöglichte so, dass die Audio-Aufnahmen durch die Puppe abrufbar waren.
Die Audiodaten (und die Profilbilder) sind auch weiterhin abrufbar, da diese auf einem Amazon-S3-Server ungeschützt abgelegt sind. Nur der komplexe Dateiname schützt diese Daten, der stand aber in der Datenbank drin.
Die Hacker konnten durch die Internet-of-Things-Suchmaschine Shodan auf die IP-Adresse des Servers von CloudPets zugreifen, durch diese Informationen Audio-Aufnahmen der Geräte abrufen und schließlich in unterschiedlichen Höhen Lösegeld verlangen.
Das klingt wieder so, als ob die Besitzer der Spielzeuge erpresst wurden. In Wirklichkeit waren das unterschiedliche Hackergruppen, die jeweils dem Hersteller eine Erpressernachricht zukommen liessen. Die waren alle der Art „wir haben deine Datenbank. Wenn du sie wiederhaben willst, sende uns X“.
,
[…] Von all dem hat angeblich der Hersteller Spiral Toys nichts gewusst. Sie haben sich offenbar auch noch gar nicht dazu geäußert. Lebt diese Firma noch? Es zeigt auf jeden Fall mal wieder, dass es den Herstellern von Dingen des Internet of Things herzlich egal ist, was mit den Nutzerdaten passiert. Die Geräte – und die Kuscheltiere sind eben auch „nur“ Geräte – sind nicht abgesichert und vom Software-Stand völlig veraltet. Und außerdem ist es bei Anbietern wie Spiral Toys auch noch so, dass die zentral die Nutzerdaten speichern und diese nicht im geringsten absichern. […]
,
Ach übrigens…
Auch „Spielzeuge“ für Erwachsene, Sprachassistenten wie Alexa, Cortana, Siri, Google Now, senden Sprachaufzeichnungen ins Internet; meist an ausländische Unternehmen. Und in Gegenwart eines Samsung Fernsehers sollte man auch keine allzu privaten Gespräche führen, steht in der Anleitung.
Das wollte ich nur nochmal erwähnen.
,
Wenn die Puppe vom Kind per Sprachnachricht Lösegeld fordert ist das was anderes als der Hacker vom Hersteller…
,
Wenn der internetfähige Hase das aussereheliche Rammeln der Hausherren/in gefilmt hat und diese Aufzeichnungen gehackt wurden,so dürfte für einige Freunde der Lust zu Ostern die Petersilie verhagelt worden sein.
In Anlehnung an einen Iggy Pop/Stooges Hit „No Fun my Babe,No Fun “
,
[…] Spielzeuge mit Internetanschluss der Firma CloudPets verlangten auf einmal Lösegeld: CloudPets – IoT-Spielzeuge fordern Lösegeld. Also nicht direkt, Hacker waren schon ein wenig dran […]
Dieser Artikel ist älter als 9 Jahre, daher sind die Ergänzungen geschlossen.