La última de los hackers: peluches que piratean datos
Un fallo de seguridad de la empresa responsable de unos muñecos conectados expone los datos de 820.000 usuarios
Unos, en apariencia inofensivos, peluches se han convertido en la última víctima de los hackers a los que les gusta trastear con el internet de las cosas (IoT, por sus siglas en inglés). Se trata de los muñecos CloudPets, fabricados por Spyral Toys, unos peluches con conexión a internet y micrófono con los que es posible que los niños manden y reciban mensajes de voz de amigos o familiares, y que se controlan mediante una aplicación para móvil.
Según ha reconocido el propio fabricante, un fallo de seguridad en su base de datos dejó expuesta la i de 820.000 usuarios a gu os de los cuales ya han sido extorsionados–, entre el 25 de diciembre del 2016 y el 9 de enero de este año. Además, según Troy Hunt, experto en ciberseguridad que ha investigado en profundidad el caso, más de 2 millones de mensajes también habrían quedado al descubierto, aunque Spyral Toys niega parcialmente este extremo. Entre los datos que se habrían visto comprometidos se encontrarían –según CloudPets– exclusivamente el nombre de usuario, la contraseña y el correo electrónico. Pero de nuevo algunos expertos que han tenido acceso a los datos lo ponen en duda, y creen que los nombres, fecha de nacimiento de los niños, las fotos y datos relativos a los “amigos” de los niños, como por ejemplo sus padres, también pueden haberse visto comprometidos a través de la aplicación.
Este es un caso que no sólo demuestra el peligro del IoT, sino también la negligencia y la ligereza con que algunas empresas y proveedores de internet –y algunos padres– se toman la seguridad informática y la protección de los datos personales.
La cotización y la capitalización en bolsa de Spyral Toys han caído en picado los últimos meses, lo que puede haber contribuido a que no haya dedicado suficientes esfuerzos a proteger la información sensible de sus clientes. Y es que literalmente cualquier persona con una conexión a internet podía saber que la base de datos de los muñecos CloudPets era vulnerable.
Para descubrirlo bastaba con hacer una búsqueda en el navegador Shodan, que escanea la red para detectar redes y equipos vulnerables conectados a internet. Eso fue lo que hizo Victor Gevers, presidente de la fundación a favor de un internet más seguro GDI, y el primero que dio con el problema. En estos casos, es habitual que la empresa afectada sea la última en enterarse. CloudPets afirma que no tuvo noticia de la brecha de seguridad hasta que se le notificó –sin decir
quién la informó– el 22 de febrero. Por tanto, tampoco en esa fecha informó a las familias afectadas, a las que dice que ya ha pedido que cambien sus credenciales. De todos modos, Hunt asegura que tiene pruebas de que la base de datos fue eliminada el 9 de enero.
El problema es que Gevers afirma que avisó en varias ocasiones vía el correo electrónico de soporte técnico e incluso Twitter a CloudPets del riesgo que corrían, desde el día 30 de diciembre. En algunos casos, los correos fueron retornados y ninguno obtuvo respuesta, porque “seguramente nadie los estaba leyendo”, dice Hunt. Además, la cuenta de Twitter de CloudPets está inactiva desde el 30 de junio. El propio Gevers, ante la falta de respuesta, se puso en contacto el 4 de enero con Linode, la empresa donde CloudPets tiene alojada su web, pero nadie le hizo el menor caso. Spyral Toys siempre ha negado haber recibido ningún tipo de alerta, pero Mark Meyers, director ejecutivo de la marca, ha terminado por reconocer que “un periodista trató de ponerse en contacto con nosostros varias veces, pero no solemos hablar con cualquiera sobre un tema de fuga de datos”.
En opinión de Hunt, el primer gran error de Spyral Toys fue que la base de datos robada no estaba en una red privada, sino en la misma dirección IP que el sitio web de CloudPets, y por eso pudo ser indexada por Shodan. El segundo fue que la base de datos no estaba protegida por algo tan elemental como una contraseña ni por un cortafuegos. Y el tercero: no había una base de datos, sino dos. Una estaba identificada como cloudpets-staging yla otra como cloudpets-test. La segunda, que se estaba usando para migrar la base de datos al servicio de bases de datos on line Mongo DB –que recientemente ha sufrido el robo de 28.000 bases de datos–, era la copia de la primera, y ambas contenían exactamente la misma información de usuarios reales de la compañía. “Esto rompe la regla cardinal de no poner jamás los datos de producción en un sistema de prueba”, dice Hunt.
Pero las cosas siempre pueden ser peores. Hunt también ha descubierto que CloudPets “no tenía ninguna política respecto a la fortaleza de las contraseñas” cuando los usuarios creaban su cuenta. De este modo, se permitían contraseñas como “1234” e incluso una simple “a”. De hecho, en los vídeos tutoriales de CloudPets en los que se muestra paso a paso cómo crear una cuenta de usuario, la credencial de ejemplo es “qwe”. Es cierto que las contraseñas estaban bien encriptadas pero, dada la debilidad que se permitía, a cualquier hacker no le resultarían nada difícil de desencriptar, como así ha sido.
Esto lleva directamente a la afirmación de Spyral Toys de que los mensajes de voz de los niños no se han visto amenazados, ya que no se encontraban en la base de datos que fue robada –lo que es cierto–, sino en la aplicación, que usa servidores del servicio de almacenamiento en la nube de Amazon.
La empresa dice que sólo en los casos en los que la contraseña no fuera lo suficientemente fuerte, estos mensajes se habrían visto amenazados. Así que es posible que algunos de estos mensajes estén ahora en manos ajenas. De todos modos, “las grabaciones de voz de los niños tienen poco valor pues son mensajes del tipo ‘Te quiero, papá’, pero es un contenido de una naturaleza muy personal que, obviamente, a las familias les gustaría mantener en su privacidad”, dice Hunt.
Pero la propia aplicación también presenta, según Hunt, problemas de seguridad. La app se comunica con un sitio web bajo el nombre de dominio de una empresa rumana responsable de la app, y cuya IP es la misma que la del sitio web de CloudPets. Cada vez que la aplicación carga un perfil de usuario, muestra la URL del servidor de Amazon en el que se almacena toda la información. Basta con tener esa URL para acceder a los datos que configuran cada uno de los perfiles, sin ningún tipo de restricción.
SIN CORTAFUEGOS La base de datos robada era de acceso público y no estaba protegida por una contraseña INFORMACIÓN ROBADA Entre otros, correos electrónicos, mensajes credenciales, fechas de nacimiento y fotos