Sebezhetőséget találtak a CloudPets digitálisan felturbózott plüssfiguráiban – írja a Readwrite.

A játékokkal hangüzeneteket is rögzíteni lehet, a hekkerek ezekhez és a gyerekek adataihoz is hozzáférhetnek. Több mint 800 ezer felhasználói fiók érintett, és 2,2 millió rögzített üzenet szivároghatott ki. A gyártó azóta elvágta az adatokat az internettől, de már azzal jogsértést követhettek el, hogy nem közölték a vásárlóikkal, hogy az adatok alapból online elérhetőek lesznek.

Nem csak elméleti lehetőségről van szó, több esetben a hekkerek zsarolásra használták fel az ellopott adatokat, Bitcoint követeltek értük cserébe a szülőktől. És ahogy az lenni szokott, nem pusztán arról van szó, hogy pár plüssmacit ki kell dobni, mert a kiszivárgott jelszavakkal a hekkerek rendszerint más, sokkal értékesebb fiókok feltörésével is megpróbálkoznak, hiszen hajlamosak vagyunk több szolgáltatásnál is ugyanazokat a jelszavakat használni.

Az adatokat a Shodan nevű kereső indexelte, amellyel a hálózatra kötött, nem biztonságos eszközök között lehet kutakodni – nem hiába csúfolták a Google gonosz ikertestvéreként.

Amikor a játék nem játék

Az utóbbi időben többször is előfordult, hogy játékgyártó cégektől loptak felhasználói adatokat a hekkerek. Egy másik játékgyártó, a Vtech szervereiről 2015 novemberében több ezer gyerek adata szivárgott ki. A cég az incidens után módosította az általános szerződési feltételeit, és a hasonló esetek felelősségét a szülőkre hárította. Az interaktív Hello Barbie gyártóját, a Mattelt pedig 2015 karácsonyakor azért kritizálták, mert nem kellőképpen titkosítva továbbította az adatokat a felhőbe. De szintén 2015 decemberében lopták el Hello Kitty-rajongók adatait is.

A sebezhetőséget a Troy Hunt nevű biztonsági szakember szúrta ki. Hunt működteti azt az oldalt is, ahol csekkolhatja, hogy meghekkelték-e valamilyen felhasználói fiókját.