Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB 800 000 comptes utilisateurs piratés
La mise en œuvre des bases de données continue de susciter des débats, tant il y a eu d’épisodes à retentissement autour d’elle. Si l’on allie à celle-ci, les réalités de l’internet des objets (IdO) avec les avantages, mais surtout les dangers, on obtient assurément un mélange détonnant, un scoop. Le constructeur américain de jouets connectés CloudPets nous en offre un ce matin, un énorme scandale au centre duquel il se trouve : une importante fuite de données par le biais de son ours connecté lié à une base de données MongoDB.
Les colonnes de l’IBTimes UK font état ce matin de 800 000 comptes utilisateurs piratés. À cela s'ajoutent près de 2 millions d’enregistrements vocaux (supposés être en sécurité dans les serveurs de l’entreprise CloudPets) exposés, aux mains de hackers. Le phénomène n’est pourtant pas nouveau, on sait déjà que des pirates peuvent faire intrusion dans une base de données non sécurisée, en copier le contenu, l’effacer et retourner les données aux propriétaires contre rançon via le réseau Bitcoin. On sait aussi que le déploiement d’une base de données qu’elle soit relationnelle ou d’un autre type (c’est le cas de MongoDB) relève essentiellement de la responsabilité de l’administrateur qui doit veiller à parfaire les configurations pour endiguer les intrusions.
Revenons au cas CloudPets pour signaler que le chercheur en sécurité Troy Hunt a fait à ce sujet deux révélations : l’une soulignant le fait que CloudPets a laissé sa base de données libre d’accès et l’autre, qu’un tiers avait essayé de les contacter par trois fois pour les prévenir de cette faille dans leur système, cela, sans jamais avoir de réponse.
CloudPets n’a pour sa part pas encore confirmé les informations relatives à cette intrusion. Ce qui pose quand même un problème d’éthique. Ne dit-on pas que « les gens commettent des erreurs, mais c’est la façon dont ils réagissent qui détermine qui ils sont » ?
Source : IBTimes UK, Troy Hunt
Et vous ?
Qu'en pensez-vous ? Simple maladresse ou acte prémédité ? Avez-vous déjà ou comptez-vous acheter un de ces jouets pour votre enfant ?Voir aussi :
Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question Plus de 2000 instances MongoDB prises en otage dans l'attente du paiement d'une rançon, les administrateurs invités à vérifier leurs configurations Les instances MongoDB prises en otage sont passées de 12 000 à plus de 27 000 en moins de 12 heures, d'après un chercheur
Vous avez lu gratuitement 2 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Cafeinoman
