更新IoT ぬいぐるみメーカーが安全でない MongoDB インストールを使用していたため、子供とその家族の音声録音 200 万件がオンラインで公開され、繰り返し身代金を要求されました。
40ドルのこのかわいいCloudPetsは、マイクとスピーカーを内蔵し、近くのスマートフォンやタブレットのiOSまたはAndroidアプリを介してインターネットに接続します。家族は、このぬいぐるみの動物を使って、子供、友人、親戚と音声メッセージを交換することができます。
たとえば、出張中の親はスマートフォンで CloudPets アプリを開き、音声メッセージを録音し、自宅の子供のおもちゃの Bluetooth 範囲内にあるタブレットを介してそのメッセージを子供のおもちゃに送信できます。子供が動物の足のボタンを押すと、録音が再生されます。
同様に、子供たちはぬいぐるみを使ってメッセージを録音し、インターネットに接続されたアプリを通じてその音声を両親や祖父母などに送信することができます。
かわいい…CloudPetsがアプリからおもちゃにメッセージを渡す方法
これらの音声クリップは、各おもちゃに関連付けられた82万件のCloudPets.comアカウントの記録とともに、パスワード保護もなくインターネット上に無防備に放置されており、数ギガバイトにも及ぶ機密情報が犯罪者の手に渡る危険性をはらんでいます。しかも、これはすべて、この10GBの内部情報を保管している同社のNoSQLデータベースのセキュリティが不十分なことが原因です。
CloudPetsのインターネット接続されたMongoDBシステム(ポート番号2701、45.79.147.159)は、アクセスに認証を必要とせず、悪意のある人物によって繰り返し脅迫されていたことが証拠から明らかになっています。データベースには、Amazon AWS S3クラウドにホストされている音声メッセージのWAVファイルへのリンクが含まれており、これも認証なしでアクセス可能でした。これにより、家族と子供たちの間の200万件を超える非常に個人的な会話が大量に盗聴された可能性があります。
おそらく、公開ネットワーク上で安全でないMongoDBのインストールをスキャンしてデータベースを発見したと思われる。彼らは全データのコピーを取得し、サーバー上のデータを削除した後、データベースのコピーを安全に返却するための金銭を要求するメモを残した。この行為は3回行われたと伝えられている。CloudPetsシステムから盗み出されたデータのコピーは、地下組織のハッカーグループ間でもやり取りされていたようだ。
忘れてはならないのは、データベースをうろついている誰かが記録を盗み、黙っていた可能性もあるということです。つまり、情報はあらゆる悪意ある人物の手に渡る可能性があるということです。データベースのIPアドレスは、おもちゃに付属するAndroidおよびiOSアプリが使用するバックエンドWebサーバーのアドレスでもあります。このアプリはルーマニアの企業mReadyによって開発されました。IPアドレスはサーバーホストLinodeに属しており、おそらく同社がこのおもちゃを提供していると考えられます。
HaveIBeenPwnedウェブサイトを運営するコンピューターセキュリティ侵害専門家Troy Hunt氏は、Spiral ToysのブランドであるCloudPetsのセキュリティ上の脆弱性について情報を入手し、本日その失敗の詳細を公表した。
「これはテディベアに録音された子供たちの声です」と、ハント氏はセキュリティ上の失態を1週間調査した後、レジスター紙に語った。「4歳の娘が部屋で座っている姿を想像できます。これほど無邪気なシナリオは考えられません。そして、彼女がテディベアに話す言葉に、これらの俳優たちがアクセスできるのです。」
CloudPetsのセキュリティが絶望的だったことの証拠として、ハント氏の情報提供者はCloudPetsのデータベースから58万件以上の記録と、玩具メーカーに大きな穴があることを警告しようとした3回の試みのスクリーンショットをハント氏に提供した。しかし、どの警告も無視されたと伝えられている。
ハント氏がさらに詳しく調査を進めると、事態はさらに奇妙になってきた。データベース内のアカウントパスワードは確かにbcryptでハッシュ化されていたが、ウェブサイトにはパスワードルールがなく、チュートリアルでは3文字のパスワードしか使用していなかった。つまり、多くのパスワードは数文字しかなく、いずれにせよ解読可能だったのだ。アカウント記録には、メールアドレス、ハッシュ化されたログインパスワード、ユーザーID、ログイン日時が含まれていた。
キャップジェミニのソリューションアーキテクトで、私的な時間を使って侵害調査を行っているニール・メリガン氏は、オープンインターネット上で人質に取られたMongoDBシステムを追跡している。彼はハント氏に協力し、CloudPetsのデータベースが恐喝犯によって複数回攻撃されたことを確認した。
インターネットデバイス検索エンジンShodan.ioを使用して、無防備なオンラインシステムの過去のスナップショットを調べたところ、メリガン氏は1月にCloudPetsのデータベースが繰り返し削除され、「PLEASE_READ」、「README_MISSING_DATABASES」、「PWNED_SECURE_YOUR_STUFF_SILLY」というDBに置き換えられたことを発見した。これは、データが1回につき1ビットコインの身代金目的で保持されていたことを示している。
ハント氏は、「CloudPetsのデータは、削除される前に不正な第三者によって何度もアクセスされ、その後何度も身代金目的で拘束された」と結論付けた。彼は、CloudPetsのおもちゃの所有者に注意喚起するため、脆弱なデータベースに登録されていた80万件以上のメールアドレスをHaveIBeenPwned.comに追加した。また、設計上のたった一つの欠陥で、お子様が盗聴の危険にさらされる可能性が非常に高いため、インターネット接続型のおもちゃの購入は控えるよう警告している。
MongoDB システム管理者に対する彼のアドバイスはシンプルです。匿名の認証されていないアクセスを許可するデフォルト構成を受け入れず、インストールを安全にしてください。
「この問題には両方の側面があると思います」とハント氏はThe Register紙に語った。「人々は失敗していますが、正直に言って、SQL Serverではそのような事例は見たことがありません。匿名のオープンアクセスでは耐えられないからです。アカウントとパスワードを強制するベースラインが必要です。」
カリフォルニアに拠点を置くクラウドペッツとスパイラルトイズの広報担当者は、すぐにはコメントに応じなかった。®
追加更新
スパイラル・トイズは、ハント氏らの調査結果と矛盾する声明を発表した。スパイラルは、セキュリティ上の欠陥を2月22日に知ったと主張している。しかし、同社は12月に警告を受け、1月中旬にはMongoDBをインターネットから削除することで脆弱性に対処したという証拠が提示されている。スパイラルは、データベースは「パスワードで暗号化されていた」と主張しているが、実際はそうではなく、すべて平文で外部から容易にアクセス可能だった。ハント氏は自身のウェブサイトでデータストアの一部を引用している。スパイラルは、MongoDBからいかなる情報も持ち出されていないと主張しているが、それは明らかに持ち出されていた。そして、金銭を要求するハッカーによって繰り返し削除されていたのだ。
「ユーザー保護のため、当社は現在、ユーザーにセキュリティを強化した新しいパスワードの選択を求めています」とスパイラルの広報担当者ハロルド・チジック氏は述べた。
「ログインデータが侵害された可能性があることを顧客に通知するメールが送信され、新しいパスワードを作成するためのリンクが提供されます。顧客のニーズに対応し、インシデントを記録した後、カリフォルニア州司法長官にサイバー犯罪報告書を提出します。」
この報告書[PDF]によると、MongoDBデータベースは開発中に構築されたステージングストアであり、本番環境では使用されていないとのことです。しかし、El Reg社は、このデータベースに本番環境のデータ(50万人以上の顧客記録と音声メッセージへのリンク)が保存されており、パブリックインターネットに公開されていたことは明らかだと認識しています。
