Home > Primo Piano > Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

 Oltre 800.000 credenziali di accesso ai servizi e 2 milioni di registrazioni vocali accessibili per settimane in Rete

 
Da qualche giorno la stampa riporta il caso della Spiral Toys, produttore dei pelouche „Cloudpets“ connessi al cloud, che consentono di registrare e inviare messaggi vocali tra bambini e genitori anche da remoto. Per omissione delle più elementari regole di sicurezza, queste registrazioni sensibili sono state accessibili a estranei per settimane via Internet. Il caso riguarda oltre 800.000 utenti registrati.
 
La situazione
 
Non è una novità che un operatore archivi online le registrazioni vocali degli utenti per poi elaborarle. Chiunque impieghi Apple Siri, Google Home o Amazon Echo si avvale di infrastrutture simili. I servizi vocali vengono offerti sempre più spesso e pur presentando notevoli vantaggi non sono scevri da rischi. Gli operatori hanno tutto l’interesse a proteggere questi dati dall’accesso indesiderato, le conseguenze di una potenziale fuga o perdita dei dati sono infatti catastrofiche sia per gli utenti sia per l’operatore. Il caso di Spiral Toys è un esempio lampante di come possa verificarsi un tale incidente: alcuni esperti di sicurezza hanno riscontrato che due banche dati del produttore erano raggiungibili via Internet senza alcuna protezione.
 
Buone intenzioni, errori elementari e pessimo timing
 
Le due le banche dati accessibili per più settimane a chiunque ne conoscesse l’indirizzo web, contenevano oltre nove Gigabyte di dati tra cui, tra le altre cose, tutte le registrazioni vocali trasmesse tra bambini e genitori. Come dichiarato dall’esperto di sicurezza Troy Hunt, il nome assegnato alle banche dati fa presupporre che le stesse non fossero impiegate produttivamente, bensì a scopo di test. Disporre di sistemi di prova raggiungibili via Rete non è inusuale, tuttavia in questo caso sono stati fatti due gravi errori. Innanzitutto le piattaforme di test non devono mai contenere i dati reali dei clienti, proprio per evitare compromissioni e fughe di dati. In secondo luogo il produttore ha omesso di implementare uno dei consigli di sicurezza più elementari per sistemi MongoDB: proteggere le banche dati contro accessi indesiderati con adeguate misure di autenticazione.
 
La banca dati contenente le registrazioni vocali includeva anche i nomi utente e le password dei fruitori del servizio. Sebbene per l’elaborazione delle password il produttore avesse impiegato un buon algoritmo di cifratura (bcrypt), gli utenti non erano tenuti a seguire alcuna linea guida per la creazione delle password, la piattaforma accettava come password anche un singolo carattere oppure combinazioni di caratteri ritenute da tempo insicure (p.es. „123246“, „qwertz“, „password“ e similari).
 
A peggiorare le cose in termini di timing è il fatto che le banche dati MongoDB in generale sono state oggetto preferenziale di attacco ransomware da parte dei cybercriminali nelle scorse settimane proprio a fronte di falle dovute a numerosi errori di configurazione. Errori di questo tipo sono già stati forieri in passato di fughe di dati che hanno interessato notevolmente l’opinione pubblica, come nel caso di noti operatori mobile o telco.
 
Effetti e conseguenze
 
Le conseguenze immediate dell’incidente per la Spiral Toys sono primariamente di natura finanziaria: negli ultimi giorni il valore delle azioni è crollato intorno ai 50 centesimi di dollaro. Per i clienti invece l’incidente ha come effetto la perdita di fiducia nei giocattoli con connessione Internet, e non sono i soli. Di recente, a posteriori di una apposita perizia legale, l’Agenzia federale delle Reti tedesca ha vietato la vendita della bambola „My Friend Cayla“ in Germania classificandola strumento di sorveglianza. Il caso di Spiral Toys conferma anche una delle nostre previsioni per il 2017: Gli operatori cloud saranno oggetto di attacchi la cui conseguenza è la perdita di dati.
 
G DATA
 
La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum, più di 28 anni fa sviluppò il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.
 
Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile.
 
In Italia la soluzione G DATA Internet Security è stata insignita nel 2017 per il quinto anno consecutivo del bollino “Miglior Acquisto” di Altroconsumo. Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati
 
Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.
 
Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it
 
CONTATTI PER LA STAMPA
 
SAB Communications snc - Ufficio stampa G DATA
Silvia Amelia Bianchi
Via della Posta 16
CH - 6934 Bioggio
Tel: +41 91 2342397
email: press@sab-mcs.com 

G DATA | Spiral Toys | Cloudpets | Amazon Echo | Apple Siri | cybercriminali | Google Home | Internet | MongoDB | My Friend Cayla | privacy | ransomware | servizi vocali | Sicurezza informatica | Troy Hunt |



Commenta l'articolo

 

Potrebbe anche interessarti

Cos’è la Supply Chain e perché è così importante la sua gestione


Dal BYOD al WYOD: pronti alla prossima sfida?


Non proteggere i dati è un reato: l’opinione di G DATA


L’Internet delle cose, ovvero dei problemi


Linee guida del Garante EU su Privacy e BYOD


28 Ottobre 1886 LA STATUA DELLA LIBERTÀ COMPIE 130 ANNI eBay festeggia un mito con un viaggio virtuale tra i cinque continenti e si sofferma su alcuni monumenti diventati icone, ben oltre i loro confini nazionali.


 

Ieri...

Stesso autore

Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware
Le soluzioni antivirus di nuova generazione non funzionano più solo con le signature anti-malware bensì si avvalgono di tecnologie di rilevamento euristiche non misurabili con Virustotal. Virustotal è stato per anni uno strumento affidabile per chiunque abbia a che fare con i malware a livello professionale. La piattaforma consente di caricare rapidamente un file o utilizzare (continua)

Da Stormshield nuove soluzioni su misura per la sicurezza perimetrale: SN2100, SN3100 e SN6100

Da Stormshield nuove soluzioni su misura per la sicurezza perimetrale: SN2100, SN3100 e SN6100
Anticipare le esigenze future delle aziende in termini di sicurezza è una vera sfida quando ci si confronta con l’esponenziale accelerazione dello sviluppo tecnologico, la progressiva ma costante migrazione verso cloud e IoT con la crescente richiesta di banda e l’estensione del perimetro aziendale che ne deriva. Una missione che Stormshield, leader tra le aziende Europee attive (continua)

Universo Finance e attacchi informatici: la storia del gioco del gatto e del topo

Universo Finance e attacchi informatici: la storia del gioco del gatto e del topo
Secondo uno studio condotto da Ponemon Institute e Accenture in 7 Paesi con il coinvolgimento di 254 operatori finanziari, gli istituti bancari e assicurativi subiscono in media 125 intrusioni all'anno (tre volte in più rispetto a sei anni fa). Tali statistiche vengono messe in evidenza solo di rado, ma sono sufficienti a dimostrare il crescente interesse dei cybercriminali verso banche e a (continua)

Cyberbullismo, uso dei social e rischi del web: l’Emilia Romagna ne parla a “Cyber boh” seconda edizione

Cyberbullismo, uso dei social e rischi del web:  l’Emilia Romagna ne parla a “Cyber boh” seconda edizione
Dal 18 al 20 ottobre a Bologna avrà luogo il più grande evento per scuole e famiglie dedicato al mondo del web. Tre giornate gratuite di conferenze, spettacoli, laboratori e tante curiosità per accompagnare scuole e famiglie nella rivoluzione digitale di questi anni.  Dopo il successo della prima edizione di Cyber boh, evento nato dalla collaborazione tra G DATA, Uniju (continua)

Snom a SMAU Milano: nuovi prodotti e tante novità

Snom a SMAU Milano: nuovi prodotti e tante novità
Una presenza all’insegna dell’innovazione quella di Snom a SMAU Milano. Nuovi prodotti e novità per gli operatori di canale tra gli highlight del produttore europeo di riferimento nel mercato della telefonia IP.    Berlino - Snom, lo specialista berlinese della telefonia IP presenta a SMAU Milano importanti novità che spaziano dalla nuova linea premium di te (continua)