Data fra nett-tilkoblet barneleke på avveie


Teddybjørnen kan spille inn det barna sier. Nå er dataene på avveie.

CloudPets er en leverandør av en barneleke som har vært utsatt for det som ser ut til å være en svært omfattende data-lekkasje. Barneleken, en bamse, markedsføres som en morsom måte å holde kontakt med barnet på.

Bamsen virker slik: Først opprettes det en konto på CloudPets systemet, og den voksne logger på denne gjennom en app på sin telefon eller nettbrett. Den voksne kan så snakke inn meldinger til barnet i app’en. Meldingen hentes opp på en tilsvarende app på telefon eller nettbrett der barnet oppholder seg med bamsen. Meldingen sendes til bamsen via Bluetooth, og barnet hører bamsen “snakke” med den voksne sin stemme. Barnet kan så snakke til bamsen, og denne tar opp meldingen og sender den tilbake til den voksne. Morsomt, ikke sant?

Se reklamevideoen for CloudPets her:

Sikkerhetsanalytiker Troy Hunt har publisert (lenke nederst i saken) en omfattende analyse som viser at databasen som inneholder persondata og en peker til hvor selve lyd-filen ligger, har vært helt åpen for alle på internett. Det skal være snakk om over 820.000 brukerdata, herunder barnets navn, kjønn, fødselsdato, fotografi og lenke til barnets foreldre med full adresse. I tillegg til dette er over 2.2 millioner lydfiler vært tilgjengelig for alle som vet hvordan de skal lete.

Passordene har ikke vært lagret i klartekst, men det har ikke vært noen krav til passord på løsningen slik at det har vært relativt enkelt å bryte mange av passordene. Dette vil kunne muliggjøre at uvedkommende kan logge seg på kontoen til et gitt barn, og selv laste opp meldinger, eller å høre på barnets meldinger.

Selskapet bak CloudPets har ikke svart på henvendelser om saken, og mye tyder på at selskapet er i ferd med å avvikles.

Denne saken er alvorlig i seg selv. En så stor data-lekkasje, der det er personopplysninger knyttet til barn, ryster de fleste. Etter at saken nå er offentliggjort, skal dataene ikke lenger være tilgjengelige.

Saken retter også søkelyset mot et mye større problem. Vi introduserer digitale tjenester og produkter inn i livene våre, uten å helt se omfanget eller potensielle konsekvenser dersom noe går galt. Det som i utgangspunktet ser ut som en hyggelig gave for barnet, kan sette både barn og voksne i farer de ikke hadde drømt om da leken ble kjøpt. En skal selvfølgelig ikke svartmale situasjonen fullstendig, men vi må erkjenne at både kunnskapen og bevisstheten om sikkerhetsutfordringene til barnet, når han eller hun sitter på rommet og betror seg til mor eller far gjennom bamsen, er alt for lav.

Det er også et generelt problem at produsenter av slike løsninger ofte glemmer at sikkerhet må være en del av produktet. At det ikke stilles noen krav til passordet, kan ikke tilgis. Det kan heller ikke de faktum at databasen har vært tilgjengelig på internett uten noen form for autentisering eller beskyttelse.

Dersom det viser seg at CloudPets er i ferd med å avvikle sin virksomhet, så kan brukerne heller ikke forvente noen oppdateringer som forbedrer sikkerheten. Problemene vedvarer.

Dette er problemer som mange i den såkalte Internet of Things industrien må ta innover seg. Som kunder og digitale innbyggere må vi forvente at leverandørene gjør alt de kan for å sikre våre personopplysninger, og at våre nett-tilknyttede ting ikke skaper problemer for andre på nettet.

Les mer om saken her: https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

Les mer om IoT her: https://nettvett.no/tingenes-internett/