Skip to main content
CloudPets - Screenshot vom Youtube-Kanal von cloudpets.com CloudPets - Screenshot vom Youtube-Kanal von cloudpets.com

CloudPets – Erpresser fordern von Kindern Lösegeld

Nein, man muss nicht jeden Scheiß mitmachen. Vor allem, wenn es Kinder und das Internet betrifft. Das sieht man auch bei den vernetzten Kuscheltieren. Die kommen von CloudPets und bieten für Angreifer das, was sie sich wünschen: Eine Angriffsfläche. Dabei ist es noch gar nicht lange her, als die Puppe Cayla Sicherheitsprobleme zeigte. Und auch mit der Barbie ist derartiges passiert. Nun also Kuscheltiere, mit denen Besitzer erpresst werden. Verrückte Welt, oder?

Unter CloudPets versteht man vernetzte Kuscheltiere. Die können Sprachnachrichten aus dem Internet abspielen. Und sie können eben solche auch selbst aufnehmen und an eine Smartphone App über das Internet verteilen. Um das tun zu können, werden die Sprachnachrichten auf einem Server gespeichert. Und zwar mitsamt der Nutzerdaten. Die Datenbank, wo das Alles gespeichert wird, war offen wie ein Scheunentor. Die Daten und die Sprachnachrichten zwischen Eltern und Kindern waren frei zugänglich. Es geht um 580000 Nutzerkonten und 2,2 Millionen Sprachnachrichten.

Von all dem hat angeblich der Hersteller Spiral Toys nichts gewusst. Sie haben sich offenbar auch noch gar nicht dazu geäußert. Lebt diese Firma noch? Es zeigt auf jeden Fall mal wieder, dass es den Herstellern von Dingen des Internet of Things herzlich egal ist, was mit den Nutzerdaten passiert. Die Geräte – und die Kuscheltiere sind eben auch „nur“ Geräte – sind nicht abgesichert und vom Software-Stand völlig veraltet. Und außerdem ist es bei Anbietern wie Spiral Toys auch noch so, dass die zentral die Nutzerdaten speichern und diese nicht im geringsten absichern.

Offenbar konnten Angreifer über die Suchmaschine Shodan, die sich mit dem Internet of Things beschäftigt, auf die IP-Adresse des CloudPets-Servers zugreifen. Dann haben sie einfach mal die ganzen Aufnahmen und Nutzerdaten abgerufen und letztlich Lösegeld in unterschiedlicher Höhe gefordert. Es heißt, dass dieser Angriff von verschiedenen Akteuren durchgeführt wurden. Aber ich frag mal so in die Runde: Muss man diesen Quatsch mitmachen? Können Kinder nicht mehr spielen, so wie wir als Kinder gespielt haben? Es muss nicht alles vernetzt sein. Erst recht nicht, wenn den Herstellern der Datenschutz egal ist.

Verteilen Sie diese Erkenntnis doch einfach wie 3 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.