Thú nhồi bông làm lộ hàng triệu bản ghi âm của người dùng
Những cuộc trò chuyện được ghi âm trên thú nhồi bông có thể đe dọa đến quyền riêng tư của trẻ em và phụ huynh.
Một lỗ hổng bảo mật cho phép bất kỳ ai cũng xem được thông tin cá nhân, ảnh và bản ghi giọng nói từ đồ chơi của hãng CloudPets. Thậm chí, có người còn cố gắng lưu tất cả thông tin này vì mục đích riêng. Theo báo cáo của nhà nghiên cứu an ninh mạng Troy Hunt, có hơn 820.000 tài khoản bị lộ, bao gồm 2,2 triệu bản ghi âm.
Theo ông Hunt, một trong những điều có thể khiến mọi người bị sốc là họ không biết khi kết nối với thú bông, giọng nói của con họ đã nằm trên máy chủ Amazon. Đồ chơi của CloudPets kết nối đến ứng dụng di động, cho phép bố mẹ gửi đi các thông điệp yêu thương cho đứa trẻ đang chơi với chúng. Khi tạo tài khoản với CloudPets, bạn cung cấp tên con, địa chỉ email và ảnh.
Cũng như các đồ chơi kết nối Internet khác, CloudPets lưu tất cả dữ liệu trong đám mây. Thú nhồi bông của hãng ra mắt năm 2015 với các con vật như gấu, chó, mèo, thỏ. Tuy nhiên, ông Hunt và các điều tra viên khác phát hiện thông tin về trẻ được lưu trong cơ sở dữ liệu không an toàn, không yêu cầu xác thực khi truy cập. Lỗi trong cơ sở dữ liệu giống với smartphone không có mã pin.
Hiện tại, dữ liệu không thể truy cập công khai nữa. Song, CloudPets không thông báo cho người dùng về lỗ hổng và điều này vi phạm pháp luật. Tại California (Mỹ), chính phủ yêu cầu các công ty phải thông báo cho người dùng nếu thông tin của họ bị lộ trên mạng. CloudPets và nhà sản xuất Spiral Toys có trụ sở tại đây.
Đây không phải sự cố đồ chơi kết nối Internet làm lộ thông tin đầu tiên. Ông Hunt cũng từng khám phá lỗ hổng khác trong thiết bị Vtech làm lộ dữ liệu hàng triệu phụ huynh và trẻ em. Gần đây, Đức đã khuyên các bậc cha mẹ vứt búp bê Cayla vì nguy cơ tấn công mạng.
Chuyên gia đề nghị cha mẹ thay đổi mật khẩu nếu họ đang dùng mật khẩu giống của tài khoản CloudPets cho các tài khoản khác.
