Home > Primo Piano > Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque

 Oltre 800.000 credenziali di accesso ai servizi e 2 milioni di registrazioni vocali accessibili per settimane in Rete

 
Da qualche giorno la stampa riporta il caso della Spiral Toys, produttore dei pelouche „Cloudpets“ connessi al cloud, che consentono di registrare e inviare messaggi vocali tra bambini e genitori anche da remoto. Per omissione delle più elementari regole di sicurezza, queste registrazioni sensibili sono state accessibili a estranei per settimane via Internet. Il caso riguarda oltre 800.000 utenti registrati.
 
La situazione
 
Non è una novità che un operatore archivi online le registrazioni vocali degli utenti per poi elaborarle. Chiunque impieghi Apple Siri, Google Home o Amazon Echo si avvale di infrastrutture simili. I servizi vocali vengono offerti sempre più spesso e pur presentando notevoli vantaggi non sono scevri da rischi. Gli operatori hanno tutto l’interesse a proteggere questi dati dall’accesso indesiderato, le conseguenze di una potenziale fuga o perdita dei dati sono infatti catastrofiche sia per gli utenti sia per l’operatore. Il caso di Spiral Toys è un esempio lampante di come possa verificarsi un tale incidente: alcuni esperti di sicurezza hanno riscontrato che due banche dati del produttore erano raggiungibili via Internet senza alcuna protezione.
 
Buone intenzioni, errori elementari e pessimo timing
 
Le due le banche dati accessibili per più settimane a chiunque ne conoscesse l’indirizzo web, contenevano oltre nove Gigabyte di dati tra cui, tra le altre cose, tutte le registrazioni vocali trasmesse tra bambini e genitori. Come dichiarato dall’esperto di sicurezza Troy Hunt, il nome assegnato alle banche dati fa presupporre che le stesse non fossero impiegate produttivamente, bensì a scopo di test. Disporre di sistemi di prova raggiungibili via Rete non è inusuale, tuttavia in questo caso sono stati fatti due gravi errori. Innanzitutto le piattaforme di test non devono mai contenere i dati reali dei clienti, proprio per evitare compromissioni e fughe di dati. In secondo luogo il produttore ha omesso di implementare uno dei consigli di sicurezza più elementari per sistemi MongoDB: proteggere le banche dati contro accessi indesiderati con adeguate misure di autenticazione.
 
La banca dati contenente le registrazioni vocali includeva anche i nomi utente e le password dei fruitori del servizio. Sebbene per l’elaborazione delle password il produttore avesse impiegato un buon algoritmo di cifratura (bcrypt), gli utenti non erano tenuti a seguire alcuna linea guida per la creazione delle password, la piattaforma accettava come password anche un singolo carattere oppure combinazioni di caratteri ritenute da tempo insicure (p.es. „123246“, „qwertz“, „password“ e similari).
 
A peggiorare le cose in termini di timing è il fatto che le banche dati MongoDB in generale sono state oggetto preferenziale di attacco ransomware da parte dei cybercriminali nelle scorse settimane proprio a fronte di falle dovute a numerosi errori di configurazione. Errori di questo tipo sono già stati forieri in passato di fughe di dati che hanno interessato notevolmente l’opinione pubblica, come nel caso di noti operatori mobile o telco.
 
Effetti e conseguenze
 
Le conseguenze immediate dell’incidente per la Spiral Toys sono primariamente di natura finanziaria: negli ultimi giorni il valore delle azioni è crollato intorno ai 50 centesimi di dollaro. Per i clienti invece l’incidente ha come effetto la perdita di fiducia nei giocattoli con connessione Internet, e non sono i soli. Di recente, a posteriori di una apposita perizia legale, l’Agenzia federale delle Reti tedesca ha vietato la vendita della bambola „My Friend Cayla“ in Germania classificandola strumento di sorveglianza. Il caso di Spiral Toys conferma anche una delle nostre previsioni per il 2017: Gli operatori cloud saranno oggetto di attacchi la cui conseguenza è la perdita di dati.
 
G DATA
 
La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum, più di 28 anni fa sviluppò il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.
 
Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile.
 
In Italia la soluzione G DATA Internet Security è stata insignita nel 2017 per il quinto anno consecutivo del bollino “Miglior Acquisto” di Altroconsumo. Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati
 
Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.
 
Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it
 
CONTATTI PER LA STAMPA
 
SAB Communications snc - Ufficio stampa G DATA
Silvia Amelia Bianchi
Via della Posta 16
CH - 6934 Bioggio
Tel: +41 91 2342397
email: press@sab-mcs.com 

G DATA | Spiral Toys | Cloudpets | Amazon Echo | Apple Siri | cybercriminali | Google Home | Internet | MongoDB | My Friend Cayla | privacy | ransomware | servizi vocali | Sicurezza informatica | Troy Hunt |



Commenta l'articolo

 

Potrebbe anche interessarti

Cos’è la Supply Chain e perché è così importante la sua gestione


Dal BYOD al WYOD: pronti alla prossima sfida?


Non proteggere i dati è un reato: l’opinione di G DATA


L’Internet delle cose, ovvero dei problemi


Linee guida del Garante EU su Privacy e BYOD


28 Ottobre 1886 LA STATUA DELLA LIBERTÀ COMPIE 130 ANNI eBay festeggia un mito con un viaggio virtuale tra i cinque continenti e si sofferma su alcuni monumenti diventati icone, ben oltre i loro confini nazionali.


 

I più cliccati

Stesso autore

Snom instaura una partnership con Xelion, uno dei maggiori provider di telefonia cloud in Europa

Snom instaura una partnership con Xelion, uno dei maggiori provider di telefonia cloud in Europa
Berlino - Snom, lo specialista berlinese della telefonia IP, annuncia la sottoscrizione di un accordo commerciale con Xelion, uno degli operatori di telefonia via cloud e provider di soluzioni VoIP in più rapida espansione in Europa.   La comprovata competenza e lo spirito innovativo di Snom nell’ambito della telefonia IP si coniugano ora alle soluzioni VoIP complete di Xelio (continua)

AV-Comparatives: G DATA Internet Security per Android semplicemente perfetta

AV-Comparatives: G DATA Internet Security per Android semplicemente perfetta
 La suite ha rilevato il 100% dei malware per Android nell’attuale test comparativo.   Il noto istituto indipendente AV-Comparatives ha esaminato attentamente dodici soluzioni di sicurezza per Android. Dal test comparativo pubblicato ieri emerge che G DATA Internet Security per Android ha riconosciuto qualsiasi malware senza eccezioni. Anche le numerose funzionalità aggiun (continua)

AV-Comparatives: G DATA Internet Security per Android semplicemente perfetta

AV-Comparatives: G DATA Internet Security per Android semplicemente perfetta
 La suite ha rilevato il 100% dei malware per Android nell’attuale test comparativo.   Il noto istituto indipendente AV-Comparatives ha esaminato attentamente dodici soluzioni di sicurezza per Android. Dal test comparativo pubblicato ieri emerge che G DATA Internet Security per Android ha riconosciuto qualsiasi malware senza eccezioni. Anche le numerose funzionalità aggiun (continua)

AV-Comparatives: G DATA Internet Security per Android semplicemente perfetta

AV-Comparatives: G DATA Internet Security per Android semplicemente perfetta
 La suite ha rilevato il 100% dei malware per Android nell’attuale test comparativo.   Il noto istituto indipendente AV-Comparatives ha esaminato attentamente dodici soluzioni di sicurezza per Android. Dal test comparativo pubblicato ieri emerge che G DATA Internet Security per Android ha riconosciuto qualsiasi malware senza eccezioni. Anche le numerose funzionalità aggiun (continua)

Telco e sanità: la ricetta olandese

Telco e sanità: la ricetta olandese
Il noto operatore olandese Vtel serve la clientela afferente al settore sanitario con una business unit dedicata. Per erogare i servizi di telefonia Vcare, Vtel si affida a telefoni IP Snom opportunamente brandizzati e dotati di funzionalità specifiche.   Berlino, 8 agosto 2018 – Nella sanità l’accessibilità protetta e immediata agli strumenti operativi e al (continua)