Производитель игрушек CloudPets хранил все собранные данные от пользователей в незащищенном виде

Персональные данные свыше полумиллиона пользователей Интернета оказались скомпрометированными безобидными плюшевыми зверьками, выпуском которых занимается американская компания Spiral Toys. В отличие от обычных детских игрушек, продукция Spiral Toys могла похвастаться встроенными электронными компонентами для дистанционного взаимодействия между родителями и ребенком. Смарт-начинка и сыграла злую шутку с покупателями игрушек, поведав также о беспечности компании-разработчика.

Игрушки серии CloudPets, значащиеся фигурантами в набирающем обороты скандале, оснащаются Bluetooth-чипами для подключения к мобильным устройствам. Заботливые родители, чье чадо получало в подарок одну из моделей CloudPets, при помощи беспроводного соединения отправляли через приложение-компаньон голосовые сообщения, которые плюшевые медвежата озвучивали бы ребенку через встроенные динамики.

Пользователи, обнаружившие критическую уязвимость в базе данных Spiral Toys (а точнее — якобы полное отсутствие какой-либо защиты пользовательских аккаунтов и всех прилагающихся к ним файлов), смогли заполучить регистрационные данные от учеток владельцев CloudPets и доступ к архиву всех отправленных ими аудиопосланий. Общение между детьми и родителями посредством смарт-игрушек выложили в свободный доступ с целью обратить внимание разработчиков, но те проигнорировали их. По предварительным оценкам в течение всего 2016 года без надлежащей защиты находились персональные разговоры в количестве 2,2 млн записей, принадлежащих 800 тыс. пользователей CloudPets.

Главный исполнительный директор Spiral Toys всячески отрицает посыпавшиеся в его адрес обвинения. По словам Марка Майерса (Mark Myers), выложенные в Сеть двухминутные записи являются подделкой и не имеют ничего общего с разговорами, хранящимися в архиве на серверах его компании. Свободный доступ к ним сейчас отсутствует и, если верить господину Майерсу, не предоставлялся и прежде.