„Mami, Papi – ich hab‘ euch lieb“ - mit dem Internet verbundene Plüschtiere offenbaren persönliche Sprachaufnahmen von Kindern und Eltern.
Der Hersteller „Spiral Toys“ verkauft ans Internet angeschlossene Plüschtiere der Marke „Cloudpets“, die Sprachaufzeichnungen zwischen Kindern und Eltern auch aus der Ferne möglich machen. Die sensiblen Aufzeichnungen sind jedoch nun im Internet durch ein grosses Datenleck offengelegt und stehen fremden Personen zur Verfügung. Betroffen sind 800.000 registrierte Benutzer.
Die Hintergründe
Dass Anbieter die Stimmaufzeichnungen von Anwendern online speichern und verarbeiten ist nichts Neues. Jeder, der Apples Siri oder Amazon Echo nutzt, greift auf eine solche Infrastruktur zu. Sprachdienste sind weiterhin auf dem Vormarsch und bieten viele Vorteile, bergen aber auch Risiken, wie Ralf Benzmüller kürzlich in seinem Artikel zum Start von Amazon Echo in Deutschland dargelegt hat. Anbieter sind bemüht, Dritten den Zugang zu diesen Daten bestmöglich zu verwehren. Der potenzielle Schaden eines Datenlecks ist katastrophal, nicht nur für die Kunden, sondern auch den betroffenen Anbieter. Was passieren kann, wenn ein solches Datenleck auftritt, zeigt das aktuelle Beispiel des Herstellers Spiral Toys. Sicherheitsforschern war aufgefallen, dass eine Datenbank des Herstellers ohne jegliche Absicherung über das Internet erreichbar war. Die Datenbank enthielt unter Anderem die Stimmaufzeichnungen, die zwischen den Kindern und ihren Eltern übermittelt wurden. Die Daten waren für jeden einsehbar, der die entsprechenden Web-Adresse hatte.
Wie konnte es dazu kommen?
Kriminellen war dies durch eine nicht ausreichend gesicherte MongoDB-Datenbank des Anbieters möglich. Ein Informant, der das kritische Sicherheitsleck bemerkte, schrieb dem Hersteller mehrfach hinweisende Nachrichten, jedoch mit ausbleibender Reaktion (Quelle: Troyhunt.com). Dies ist nicht das erste Mal, dass durch mangelhafte Sicherheit bei „smarten“ Spielzeugen Daten missbraucht werden. Weihnachten 2015 griffen Eltern zur elektronischen „Hello Barbie“, die ebenfalls ungeschützt bestimmte Daten an eine Cloud schickte. Zum aktuellen Fall kommt erschwerend hinzu, dass die Accounts der 800.000 betroffenen Personen eine unzureichende Passwortstärke aufweisen. „123456“, „password“ oder „abc“ sind nur wenige Beispiele, die für den Login verwendet werden. Diese sehr simplen und damit leicht zu umgehenden Kombinationen aus Zahlen und Buchstaben lassen sich sehr schnell knacken und gewähren rasch Zugang zu sensiblen Daten. Deshalb empfiehlt sich immer eine gewisse Komplexität, die lang genug ist und aus mehr als einem Wort besteht.
Der aktuelle Vorfall wird für den Hersteller zumindest wirtschaftliche Probleme bedeuten. Zuletzt lag der Kurs der Aktie bei ca. einem halben US-Cent. Auf Kundenseite dürfte das Vertrauen in Spielzeuge mit Cloud-Anbindung vorerst erschüttert sein. Zuletzt hat die Bundesnetzagentur sogar den Verkauf der „My Friend Cayla“ – Puppe in Deutschland untersagt, da sie nach einem Rechtsgutachten als Spionagewerkzeug eingestuft wurde. Auch bestätigt der Vorfall eine unserer Prognosen für das Jahr 2017: Cloudanbieter werden zum Ziel von Angriffen, die in Datenlecks resultieren.
