Home > Primo Piano > Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

 Oltre 800.000 credenziali di accesso ai servizi e 2 milioni di registrazioni vocali accessibili per settimane in Rete

 
Da qualche giorno la stampa riporta il caso della Spiral Toys, produttore dei pelouche „Cloudpets“ connessi al cloud, che consentono di registrare e inviare messaggi vocali tra bambini e genitori anche da remoto. Per omissione delle più elementari regole di sicurezza, queste registrazioni sensibili sono state accessibili a estranei per settimane via Internet. Il caso riguarda oltre 800.000 utenti registrati.
 
La situazione
 
Non è una novità che un operatore archivi online le registrazioni vocali degli utenti per poi elaborarle. Chiunque impieghi Apple Siri, Google Home o Amazon Echo si avvale di infrastrutture simili. I servizi vocali vengono offerti sempre più spesso e pur presentando notevoli vantaggi non sono scevri da rischi. Gli operatori hanno tutto l’interesse a proteggere questi dati dall’accesso indesiderato, le conseguenze di una potenziale fuga o perdita dei dati sono infatti catastrofiche sia per gli utenti sia per l’operatore. Il caso di Spiral Toys è un esempio lampante di come possa verificarsi un tale incidente: alcuni esperti di sicurezza hanno riscontrato che due banche dati del produttore erano raggiungibili via Internet senza alcuna protezione.
 
Buone intenzioni, errori elementari e pessimo timing
 
Le due le banche dati accessibili per più settimane a chiunque ne conoscesse l’indirizzo web, contenevano oltre nove Gigabyte di dati tra cui, tra le altre cose, tutte le registrazioni vocali trasmesse tra bambini e genitori. Come dichiarato dall’esperto di sicurezza Troy Hunt, il nome assegnato alle banche dati fa presupporre che le stesse non fossero impiegate produttivamente, bensì a scopo di test. Disporre di sistemi di prova raggiungibili via Rete non è inusuale, tuttavia in questo caso sono stati fatti due gravi errori. Innanzitutto le piattaforme di test non devono mai contenere i dati reali dei clienti, proprio per evitare compromissioni e fughe di dati. In secondo luogo il produttore ha omesso di implementare uno dei consigli di sicurezza più elementari per sistemi MongoDB: proteggere le banche dati contro accessi indesiderati con adeguate misure di autenticazione.
 
La banca dati contenente le registrazioni vocali includeva anche i nomi utente e le password dei fruitori del servizio. Sebbene per l’elaborazione delle password il produttore avesse impiegato un buon algoritmo di cifratura (bcrypt), gli utenti non erano tenuti a seguire alcuna linea guida per la creazione delle password, la piattaforma accettava come password anche un singolo carattere oppure combinazioni di caratteri ritenute da tempo insicure (p.es. „123246“, „qwertz“, „password“ e similari).
 
A peggiorare le cose in termini di timing è il fatto che le banche dati MongoDB in generale sono state oggetto preferenziale di attacco ransomware da parte dei cybercriminali nelle scorse settimane proprio a fronte di falle dovute a numerosi errori di configurazione. Errori di questo tipo sono già stati forieri in passato di fughe di dati che hanno interessato notevolmente l’opinione pubblica, come nel caso di noti operatori mobile o telco.
 
Effetti e conseguenze
 
Le conseguenze immediate dell’incidente per la Spiral Toys sono primariamente di natura finanziaria: negli ultimi giorni il valore delle azioni è crollato intorno ai 50 centesimi di dollaro. Per i clienti invece l’incidente ha come effetto la perdita di fiducia nei giocattoli con connessione Internet, e non sono i soli. Di recente, a posteriori di una apposita perizia legale, l’Agenzia federale delle Reti tedesca ha vietato la vendita della bambola „My Friend Cayla“ in Germania classificandola strumento di sorveglianza. Il caso di Spiral Toys conferma anche una delle nostre previsioni per il 2017: Gli operatori cloud saranno oggetto di attacchi la cui conseguenza è la perdita di dati.
 
G DATA
 
La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum, più di 28 anni fa sviluppò il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.
 
Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile.
 
In Italia la soluzione G DATA Internet Security è stata insignita nel 2017 per il quinto anno consecutivo del bollino “Miglior Acquisto” di Altroconsumo. Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati
 
Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.
 
Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it
 
CONTATTI PER LA STAMPA
 
SAB Communications snc - Ufficio stampa G DATA
Silvia Amelia Bianchi
Via della Posta 16
CH - 6934 Bioggio
Tel: +41 91 2342397
email: press@sab-mcs.com 

G DATA | Spiral Toys | Cloudpets | Amazon Echo | Apple Siri | cybercriminali | Google Home | Internet | MongoDB | My Friend Cayla | privacy | ransomware | servizi vocali | Sicurezza informatica | Troy Hunt |



Commenta l'articolo

 

Potrebbe anche interessarti

Cos’è la Supply Chain e perché è così importante la sua gestione


Dal BYOD al WYOD: pronti alla prossima sfida?


Non proteggere i dati è un reato: l’opinione di G DATA


L’Internet delle cose, ovvero dei problemi


Linee guida del Garante EU su Privacy e BYOD


28 Ottobre 1886 LA STATUA DELLA LIBERTÀ COMPIE 130 ANNI eBay festeggia un mito con un viaggio virtuale tra i cinque continenti e si sofferma su alcuni monumenti diventati icone, ben oltre i loro confini nazionali.


 

I più cliccati

Stesso autore

Record drammatico negativo: circa 8,4 milioni di nuovi malware identificati nel 2017

Record drammatico negativo: circa 8,4 milioni di nuovi malware identificati nel 2017
 I PC sono costantemente sotto l’assedio di malware da respingere.   Bochum (Germania). Circa 8,4 milioni, questo il bilancio dei nuovi tipi di malware per computer, o 16 diversi campioni di software dannoso al minuto nel 2017 – un nuovo record negativo. Ralf Benzmüller, portavoce esecutivo dei G DATA SecurityLabs, analizza e valuta la situazione in un articolo dettagl (continua)

Sistemi di controllo industriali: nuovo tallone d’Achille dell’industria?

Sistemi di controllo industriali: nuovo tallone d’Achille dell’industria?
 Stormshield analizza rischi e benefici dell’adozione di sistemi di controllo ICS di nuova generazione rispondendo alle quattro domande poste più di frequente dai propri clienti industriali.   Lyon - I sistemi di controllo industriali (ICS) sono il fulcro delle operazioni aziendali. Con ICS ci si riferisce genericamente a "diverse tipologie di sistemi di controllo e s (continua)

Pierre-Yves Hentzen nuovo CEO di Stormshield

Pierre-Yves Hentzen nuovo CEO di Stormshield
 Stormshield, uno dei principali produttori europei di soluzioni per la sicurezza informatica, annuncia la nomina di Pierre-Yves Hentzen quale nuovo CEO in seguito alla partenza di Pierre Calais, che ha contribuito per 9 anni con costante impegno e dedizione all'avventura di Stormshield.   Pierre-Yves Hentzen conosce in modo approfondito l’azienda, i prodotti, la struttura organi (continua)

Le previsioni di G DATA per il 2018: i cybercriminali puntano a Bitcon & Co.

Le previsioni di G DATA per il 2018: i cybercriminali puntano a Bitcon & Co.
 Società, criptovalute e IoT sempre più spesso nel mirino dei cybercriminali.   Anche nel 2017 il ransomware è stato il protagonista dell’anno per quanto concerne la sicurezza IT. WannaCry e NotPetya hanno dimostrato che i criminali hanno perfezionato le proprie tecniche e che le aziende sono oggetto di attacchi mirati. Gli esperti di sicurezza G DATA non pos (continua)

Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet

Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet
 Come possiamo generare fiducia nelle tecnologie che offriamo in qualità di produttore? Questa domanda è indubbiamente una delle preoccupazioni chiave che meritano attenzione e tuttavia se ne discute ben poco tra le aziende che sviluppano e producono soluzioni per la cybersecurity. E’ necesario analizzare in dettaglio l’argomento per comprenderne le sue implicazioni (continua)