Spiral Toys, des peluches connectées et des bases de données non-sécurisées

Philippe CROUZILLACQ 2 mars 2017

Chez Spiral Toys, les peluches (des ours, des lapins et des chats) sont reliées à une application mobile pour interagir avec les parents et leurs enfants… Problème, selon un expert en sécurité informatique, l’entreprise américaine enregistrait les données de ses utilisateurs (photos, noms, adresses mail, conversations) sur des bases de données qui n’étaient pas suffisamment sécurisées. Un régal pour les pirates informatiques.

Nouveau bug de taille dans l’univers de l’Internet des objets et plus précisément dans le petit monde des jouets connectés. Cette fois-ci ce sont des peluches qui étaient visées, des peluches paramétrables via une application mobile.

Les données des utilisateurs des peluches de l’entreprise américaine Spiral Toys (photos, noms, adresses mail, conversations enregistrées), étaient stockées sur des bases de données qui, faute de mots de passe et de pare-feu, n’étaient pas suffisamment sécurisées.

Résultat, des pirates informatiques se sont emparés de plus de deux millions de messages vocaux concernant plus de 800 000 utilisateurs, précise sur son site le spécialiste en sécurité informatique Troy Hunt.

Et au tout début de l’année 2017, certains utilisateurs-clients des peluches Spiral Toys ont eu le plaisir de recevoir des messages de rançon leur réclamant le versement d’un bitcoin (qui cote aujourd’hui aux alentours de 1000 dollars) en échange de la récupération de leurs données…

Facebook

Twitter