Les jouets connectés CloudPets : une porte ouverte aux pirates via MongoDB
800 000 comptes utilisateurs piratés

Le , par Patrick Ruiz, Chroniqueur Actualités
La mise en œuvre des bases de données continue de susciter des débats, tant il y a eu d’épisodes à retentissement autour d’elle. Si l’on allie à celle-ci, les réalités de l’internet des objets (IdO) avec les avantages, mais surtout les dangers, on obtient assurément un mélange détonnant, un scoop. Le constructeur américain de jouets connectés CloudPets nous en offre un ce matin, un énorme scandale au centre duquel il se trouve : une importante fuite de données par le biais de son ours connecté lié à une base de données MongoDB.


Les colonnes de l’IBTimes UK font état ce matin de 800 000 comptes utilisateurs piratés. À cela s'ajoutent près de 2 millions d’enregistrements vocaux (supposés être en sécurité dans les serveurs de l’entreprise CloudPets) exposés, aux mains de hackers. Le phénomène n’est pourtant pas nouveau, on sait déjà que des pirates peuvent faire intrusion dans une base de données non sécurisée, en copier le contenu, l’effacer et retourner les données aux propriétaires contre rançon via le réseau Bitcoin. On sait aussi que le déploiement d’une base de données qu’elle soit relationnelle ou d’un autre type (c’est le cas de MongoDB) relève essentiellement de la responsabilité de l’administrateur qui doit veiller à parfaire les configurations pour endiguer les intrusions.

Revenons au cas CloudPets pour signaler que le chercheur en sécurité Troy Hunt a fait à ce sujet deux révélations : l’une soulignant le fait que CloudPets a laissé sa base de données libre d’accès et l’autre, qu’un tiers avait essayé de les contacter par trois fois pour les prévenir de cette faille dans leur système, cela, sans jamais avoir de réponse.

CloudPets n’a pour sa part pas encore confirmé les informations relatives à cette intrusion. Ce qui pose quand même un problème d’éthique. Ne dit-on pas que « les gens commettent des erreurs, mais c’est la façon dont ils réagissent qui détermine qui ils sont » ?

Source : IBTimes UK, Troy Hunt

Et vous ?

Qu'en pensez-vous ? Simple maladresse ou acte prémédité ?

Avez-vous déjà ou comptez-vous acheter un de ces jouets pour votre enfant ?

Voir aussi :

Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question

Plus de 2000 instances MongoDB prises en otage dans l'attente du paiement d'une rançon, les administrateurs invités à vérifier leurs configurations

Les instances MongoDB prises en otage sont passées de 12 000 à plus de 27 000 en moins de 12 heures, d'après un chercheur


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Cafeinoman Cafeinoman - Membre éprouvé https://www.developpez.com
le 28/02/2017 à 15:14
Un truc que je ne comprend pas (ou que j'ai peur de comprendre) : dans tout ces cas de bases MongoDB piratés, au-delà de la sécu "par défaut", et donc inexistante, ils exposent leur base sur le WAN? Ou alors une première faille permet de pénétrer le VLAN où est exposée la base? Parce que un port de base de données ouvert sur le WAN, c'est criminel...
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 28/02/2017 à 16:26
Citation Envoyé par Cafeinoman Voir le message
Un truc que je ne comprend pas (ou que j'ai peur de comprendre) : dans tout ces cas de bases MongoDB piratés, au-delà de la sécu "par défaut", et donc inexistante, ils exposent leur base sur le WAN? Ou alors une première faille permet de pénétrer le VLAN où est exposée la base? Parce que un port de base de données ouvert sur le WAN, c'est criminel...
Holà... Tout de suite les grands mots! Ce n'est pas criminel, cela relève juste de l'incompétence!!!

Mais il est vrai que lorsque l'on finit par cumuler l'incompétence des mecs qui fournissent du logiciel avec des failles de sécurité, l'incompétence des concepteurs de hardware puis l'incompétence des mecs qui s'occupent de déployer le système et de l'administrer, cela ne se termine pas par un "accès aux données sécurisé à 100%"...

Mais est-ce vraiment eux les responsables (l'erreur étant humaine) ou la naïveté des promoteurs de la solution qui croient pouvoir fournir des systèmes online insensibles aux vilains hackers de tout poil???
Avatar de Aurelien.Regat-Barrel Aurelien.Regat-Barrel - Expert éminent https://www.developpez.com
le 28/02/2017 à 16:54
En fait les hackers sont presques les sauveurs dans cette histoire parce que la base Mongo s'est fait vider par un (ou 3 apparement!) ransomware et donc du coup les données sont protégéres maintenant

Enfin, pas tout à fait. Car il semble qu'en plus des emails et hash de mot de passes (ouf, ils sont pas en clair!), date de naissance, localisation des enfants, etc... la bdd contenait les liens vers les documents (images de profil, enregistrements vocaux...) qui sont directement accessibles sur Amazon S3, en download public... Et tout ça en deux versions : une version prod et test sur le même serveur

Et ce n'est pas 3 mais au moins 4 tentatives par 2 personnes pour les avertir du danger dès le 30 decembre. Aucune réponse de leur part. Il on cherché à nier ces messages reçus mais y'a des preuves que oui.

Bref...
Offres d'emploi IT
Responsable de lot / architecte fpga H/F
Safran - Ile de France - Éragny (95610)
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot
Chef de projet technique H/F
Safran - Ile de France - Melun (77000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil