Error de seguridad en juguete conectado podría estar filtrando la voz de miles de niños en Internet

Juguete conectado de CloudPets

Juguete conectado de CloudPets

Hace pocos días hablamos de una muñeca de Alemania que se estaba retirando del mercado por problemas de seguridad, hoy vuelve a repetirse el asunto, esta vez con las cuentas de CloudPets, que tiene más de 800.000 usuarios registrados.

Expertos de seguridad de troyhunt.com acusan a la empresa, Spiral Toys, de no tener un sistema de seguridad fiable para proteger las cuentas de los niños y padres que usan su juguete. De hecho, en el vídeo de presentación del proyecto se muestra como se crea una contraseña de solo 3 letras, y muchos de los usuarios usaron las mismas letras para crear sus cuentas, siendo posible también poner passwords como 11111, o 123456, sin reglas para obligar a crear algo más robusto.

Las direcciones de correo electrónico de más de 820.000 usuarios de CloudPets fueron almacenadas en una base de datos MongoDB dentro de una red que podría indexarse con el motor de búsqueda Shodan, especializado en encontrar objetos conectados, según Troy Hunt, quien denuncia que sería posible acceder a las grabaciones de voz de una base de datos de 2,2 millones de archivos, exponiendo las conversaciones que los niños y sus padres tenían con los juguetes.

Mark Myers, CEO de Spiral Toys, reconoce que deben mejorar el sistema de contraseñas, pero niega que las voces de sus usuarios puedan conseguirse en Internet. En el informe completo de Troy Hunt es posible ver lo contrario, aunque serán necesarias más pruebas de seguridad para verificar la cantidad de datos que pueden obtenerse siguiendo los pasos indicados.

Juan Diego Polo

Estudió Ingeniería de Telecomunicaciones en la UPC (Barcelona), trabajando como ingeniero, profesor y analista desde 1998 hasta 2005, cuando decidió emprender creando wwwhatsnew.com.