Der Hersteller „Spiral Toys“ verkauft ans Internet angeschlossene Plüschtiere der Marke „Cloudpets“, die Sprachaufzeichnungen zwischen Kindern und Eltern auch aus der Ferne möglich machen. Die sensiblen Aufzeichnungen sind jedoch nun im Internet durch ein großes Datenleck offengelegt und stehen fremden Personen zur Verfügung. Betroffen sind 800.000 registrierte Benutzer.
Die Hintergründe
Dass Anbieter die Stimmaufzeichnungen von Anwendern online speichern und verarbeiten ist nichts Neues. Jeder, der Apples Siri oder Amazon Echo nutzt, greift auf eine solche Infrastruktur zu. Sprachdienste sind weiterhin auf dem Vormarsch und bieten viele Vorteile, bergen aber auch Risiken, wie Ralf Benzmüller kürzlich in seinem Artikel zum Start von Amazon Echo in Deutschland dargelegt hat. Anbieter sind bemüht, Dritten den Zugang zu diesen Daten bestmöglich zu verwehren. Der potenzielle Schaden eines Datenlecks ist katastrophal, nicht nur für die Kunden, sondern auch den betroffenen Anbieter. Was passieren kann, wenn ein solches Datenleck auftritt, zeigt das aktuelle Beispiel des Herstellers Spiral Toys. Sicherheitsforschern war aufgefallen, dass eine Datenbank des Herstellers ohne jegliche Absicherung über das Internet erreichbar war. Die Datenbank enthielt unter Anderem die Stimmaufzeichnungen, die zwischen den Kindern und ihren Eltern übermittelt wurden. Die Daten waren für jeden einsehbar, der die entsprechenden Web-Adresse hatte.
Gute Absichten, elementare Fehler und schlechtes Timing
Insgesamt waren zwei Datenbanken mit insgesamt über neun Gigabyte an Daten über mehrere Wochen offengelegt. Wie der Sicherheitsexperte Troy Hunt erklärt, legt die Benennung der Datenbanken nahe, dass diese nicht für einen produktiven Einsatz gedacht waren. Solche Testsysteme am Netz zu haben ist an sich nicht ungewöhnlich, allerdings wurden hier zwei entscheidende Fehler gemacht: zum einen dürfen Testsysteme niemals „echte“ Kundendaten enthalten, um eventuelle Datenlecks oder anderweitige Kompromittierung der Daten zu vermeiden. Zum anderen hat der Hersteller es versäumt, eine der elementarsten Sicherheitsempfehlungen umzusetzen, die für MongoDB existieren: die Datenbank durch die Einrichtung einer geeigneten Authentisierung gegen unbefugten Zugriff zu schützen.
In der Datenbank selbst sind neben den Stimmaufzeichnungen auch Benutzernamen und Passwörter enthalten. Bei der Verarbeitung der Passwörter hat der Hersteller mit bcrypt zwar eine gute Wahl für einen Hashingalgorithmus getroffen, allerdings stellte sich heraus, dass es für die Anwender keinerlei Passwortrichtlinien gab. So erlaubte die Plattform auch ein einzelnes Zeichen als Passwort, sowie Passwörter, die seit Jahren als unsicher gelten (z.B. „123246“, „qwertz“, „passwort“ und Andere).
Erschwerend kommt hinzu, dass MongoDB-Datenbankinstanzen in den letzten Wochen aufgrund vielfacher Fehlkonfigurationen ohnehin schon verstärkt in den Fokus von Kriminellen geraten waren. Diese haben massenweise Datenbanken, die über das Internet erreichbar waren, mit einer Ransomware verschlüsselt und Lösegeld für die Entschlüsselung der Daten gefordert. Solche Fehlkonfigurationen haben in der jüngeren Vergangenheit schon für öffentlichkeitswirksame Datenlecks gesorgt, unter anderem bei Mobilfunk- und Internetanbietern.
Auswirkungen und Konsequenzen
Der aktuelle Vorfall wird für den Hersteller zumindest wirtschaftliche Probleme bedeuten. Zuletzt lag der Kurs der Aktie bei ca. einem halben US-Cent. Auf Kundenseite dürfte das Vertrauen in Spielzeuge mit Cloud-Anbindung vorerst erschüttert sein. Zuletzt hat die Bundesnetzagentur sogar den Verkauf der „My Friend Cayla“ – Puppe in Deutschland untersagt, da sie nach einem Rechtsgutachten als Spionagewerkzeug eingestuft wurde.
Auch bestätigt der Vorfall eine unserer IT Security Prognosen für das Jahr 2017: Cloudanbieter werden zum Ziel von Angriffen, die in Datenlecks resultieren.
