Die Sprachnachrichten von zwei Millionen Cloudpets-Kunden sind offen im Netz. Dazu kommen noch 820.000 Account-Daten.
Die Sprachnachrichten von zwei Millionen Cloudpets-Kunden sind offen im Netz. Dazu kommen noch 820.000 Account-Daten.
© Screenshot

CloudPets

Smarter Teddy-Bär gehackt: Daten im Netz veröffentlicht

Barbara Wimmer

Datenpanne beim Spielzeughersteller: Mehr als zwei Millionen Sprachnachrichten, die über CloudPets abgespielt worden sind, lagen ungeschützt im Internet.

Dieser Artikel ist älter als ein Jahr!

Der Spielzeughersteller Spiral Toys bietet mit CloudPets ein Spielzeug an, bei dem es möglich ist, Nachrichten abzuspielen, die über eine App geschickt werden. Nachdem die Eltern die Nachricht autorisiert haben, leuchtet das Herz der Tiere rot. Drückt das Kind nun deren Pfoten, wird die Sprachaufnahme abgespielt. Der Teddybär sagt dann etwa in der Stimme der Mama „Ich liebe dich“ oder „Schlaf gut, mein Süßes“. Das ist deshalb möglich, weil das Spielzeug über eine Internetverbindung verfügt.

Auch Daten im Netz

Am Dienstag wurde bekannt, dass zwei Millionen Sprachnachrichten, die zwischen Kindern und Eltern ausgetauscht worden waren, aus dem kalifornischen Spielzeug offen im Internet verfügbar gewesen sind. Jeder konnte die Nachrichten runterladen und anhören. Zusätzlich zu den Sprachnachrichten waren auch rund 820.000 Datensätze im Netz abrufbar, die weit über Sprachnachrichten hinausgingen: Account-Daten mit Passwortangaben.

Im Jänner haben Cyberkriminelle die Daten mit E-Mail-Adressen und Passwörtern gestohlen. Laut einem Bericht von Motherboard hat Spiral Toys keine Richtlinien für starke Passwörter für ihre User verordnet, damit sind auch Passwörter wie „pet“ oder „1234“ möglich. Laut dem Sicherheitsforscher Toy Hunt war es ein leichtes, die Passwörter ganz einfach zu erraten. Die Datenbank fanden die Kriminellen ganz einfach über die Suchmaschine Shodan, die sie indexiert hatte.

Eltern nicht informiert

Laut Hunt seien die CloudPets-Daten sehr viele Male bei unautorisierten Personen runtergeladen worden, bevor sie gelöscht wurde. Spiral Toys sei außerdem mehrfach auf das Problem aufmerksam gemacht worden, auch Erpressungsversuche soll es gegeben haben. Die betroffenen Kunden des Spielzeugherstellers seien laut Medienberichten zu keinem Zeitpunkt informiert worden. Spiral Toys wollte laut „Mashable“ bisher keine Stellungnahme dazu abgeben. Es könnten auf das Unternehmen nun massive Schadenersatzzahlungen von Kunden zukommen.

Puppe Cayla verboten

Dass die Vernetzung von Kinderspielzeug mit dem Internet nicht unbedingt die schlauste Idee ist, zeigt aber auch ein anderer Fall. Vor kurzem hatte die Bundesnetzagentur in Deutschland die smarte Puppe Cayla als Spionagegerät eingestuft und den Verkauf und Besitz verboten. Die Puppe verfügt über Mikrofon, Spracherkennung, Netzwerkzugang und lässt sich über eine iOS- oder Android-App steuern. In Deutschland gilt die ungesicherte Puppe als „verbotene Sendeanlage“.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 28.02.2017, 14:04 Uhr

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare