当德国禁止相关的dolover安全问题时,它并没有过分谨慎。事实证明,有一个教科书示例说明当玩具数据隐私严重出错时会发生什么。
安全研究人员发现,螺旋玩具的精通互联网的泰迪熊Cloudpets将孩子的语音消息存储在不安全的,错误的conpd数据库中,任何人都可以在线访问。虽然玩具帐户的密码 (超过821,000个) 存储在加密哈希中,但没有密码强度限制-随意破解许多帐户并下载语音数据是微不足道的。情况变得更糟。
信息安全专家Niall merrigan发现了数据库被破坏的证据。入侵者复制了数据库,删除了原件,并要求以比特币付款以取回数据。鉴于数据库似乎已经完全消失了1月13日,因此Spiral似乎并没有放弃或承认需求。
至于螺旋的回应?没有,也可能永远不会。微软的特洛伊·亨特 (Troy Hunt) 和其他公司曾多次尝试与螺旋式螺旋接触,但都无济于事,尽管有明显迹象表明有些不对劲,但该公司似乎没有通知客户。从所有迹象来看,该公司正在维持生命或死亡: 其社交媒体帐户已经沉默了一个月,其股价几乎一文不值。
关键是,很多这样的事情是完全可以避免的。Rapid7安全研究总监托德·比尔兹利 (Tod Beardsley) 告诉Engadget,所有缺陷都可以解决,但是这种螺旋似乎对采用它们 “毫无兴趣”。虽然Rapid7倾向于 “大约70% 的时间” 得到公司的回应,并且几乎总是看到他们在联系时实施修复或变通方法,但对于一家公司来说,完全保持沉默是 “越来越罕见的”。
在这一事件与其他产品的安全性之间,很明显,当互联玩具制造商决定将孩子们的交流放到网上时,他们正走在玻璃上。即使一家公司没有做任何可疑的事情,例如将信息传递给不负责任的第三方,它也只能采取失误的方式向世界公开极其敏感的信息。这是假设熟练的黑客不会首先找到它,或者如果没有一个删除存储数据的坚定计划,该公司就不会破产。
这并不意味着公司应该完全放弃具有互联网功能的玩具,但他们既需要权衡在线存储任何信息的优点,也需要采取非常、非常彻底的预防措施,以确保不会发生这样的泄漏。