משחקי ילדים שמחוברים לאינטרנט ושואבים מהם מידע הם דבר חדש יחסית בתחום המשחקים אך כבר מתבררת מידת הסכנה הטמונה במשחקים שכאלה. הלילה נחשף, על פי הדיווח ב'הארץ' כי בובות מקוונות הדליפו יותר מ-2 מיליון הקלטות של ילדים והורים לרחבי הרשת.
המפתחים של Cloud Pets, בובות חכמות ומחוברות לרשת, שמרו מיליוני הקלטות ומאות אלפי חשבונות משתמשים בשרתים חשופים לגמרי לרשת. כשניסו לדווח להם על הבעיה התברר שאין עם מי לדבר כיוון שהחברה איבדה את רוב ערכה והפכה ללא פעילה.
חוקר האבטחה טרוי האנט, המחזיק באתר העוסק בדיווח על מאגרי מידע שנחשפו, חשף הלילה בשיתוף פעולה עם אתר Motherboard את הפרשה. בפוסט נרחב באתר שלו גולל האנט את תהליך המחקר של הדליפה.
בין היתר גילה האנט כי מסד הנתונים של החברה נחשף ואונדקס באמצעות מנוע החיפוש Shodan, שמשמש לחיפושים של מכשירים פגיעים המחוברים לרשת, כלומר מישהו רע מודע לכך שהמכשירים פגיעה וחשופים לפריצה. מסד הנתונים שכלל בין היתר את חשבונות המשתמשים ואת ההקלטות הקוליות, היה חשוף לרשת, ולא היה אפילו מוגן בססמה. "אנשים מצאו את מסד הנתונים החשוף ברשת", כתב האנט. "הרבה אנשים, והדבר המדאיג הוא שמאוד בלתי סביר שמישהו יודע בכמה אנשים מדובר".
על פי הממצאים של האנט ושל חוקרים נוספים מדובר בסך הכל ביותר מ-800 אלף חשבונות של משתמשים, שכתובות האימייל שלהם היו חשופות במסד הנתונים. נקודת האור היחידה הייתה שהססמאות היו מוגנות בפונקציית גיבוב קריפטוגרפית חזקה יחסית (Bycript). ואולם, השירות לא הגביל כלל את המשתמשים באורך ובמורכבות הססמאות שהוא דרש מהן, כך שרבות מהססמאות קלות לפיצוח, למרות השימוש באותה פונקציה.
אבל, כאמור, זה עוד מחמיר. בחודשים האחרונים נפוצה ברשת תוכנת כופר שפוגעת בשרתים המריצים את תוכנת MongoDB זו שהפעילה את מסד הנתונים של חשבונות הבובות החכמות. עשרות אלפי שרתים נפגעו. ומתברר שהאנט וחוקר נוסף בשם ניאל מריגן, גילו כי האקרים שהשתמשו בתוכנה הצליחו להשתלט גם על מסד הנתונים של Cloud Pets ולדרוש כופר של ביטקוין אחד.
האנט וכתב Motherboard, לורנצו פרנצ'סקי-ביצ'ראי, ניסו להגיע לחברה שעומדת מאחורי הצעצועים, גם כדי לדווח על הבעיות וגם כדי לקבל את תגובת חברת Spiral Toys שאחראית לייצור והפיתוח של הבובות. אך להפתעתם הם לא הצליחו להגיע לאף אחד, למרות ניסיונות חוזרים ונשנים. בינתיים התברר כי מחיר המניה של החברה נמצא בצלילה חדה מאז שנת 2015, והיא איבדה 99% משוויה מה שמסביר ככל הנראה את חוסר הפעילות של החברה.
המקרה האחרון מגיע רק זמן קצר לאחר האזהרה החריפה של גרמניה בנוגע ל'קיילה', בובה מחוברת אחרת שמסכנת את הפרטיות של ילדים והוריהם, אבל גם זה רק מקרה אחד בשרשרת של מכשירים מחוברים, מעולם "האינטרנט של הדברים" (IoT), שפותחו עם אפס מחשבה על אבטחת מידע או אפשרויות לעדכון ותיקון והותירו את הלקוחות חשופים מבלי יכולת הגנה.