Spiral Toys、CloudPetsの脆弱なクラウドセキュリティで個人情報が流出

  • 元記事:Data from connected CloudPets teddy bears leaked and ransomed, exposing kids’ voice messages
  • HP:CloudPets
  • 発表日時 2017/2/28

    米国のメーカーSpiral ToysのぬいぐるみのCloudPetsから、ユーザ個人情報が流出していることが発覚した。CloudPetsはインターネットを通じて会話ができるIoT型ぬいぐるみで、購入した際にCloudPetsのアカウントを作成し、氏名やメールアドレス、写真などを登録してクラウド上に保存する。その際に、このユーザ情報が認証なしでアクセス可能なデータベースに保存され、セキュリティ設定が施されておらず、検索エンジンで検出可能な状態となっていた。
    セキュリティー専門家により流出が発覚。これにより220万件の会話や82万件の個人情報含むアカウント情報の流出が判明した。同社本社のあるカリフォルニア州では個人情報がネット上に流出した際には企業は顧客に通知することが義務付けられているが、同社は顧客に通知しておらず顧客からの問い合わせにも応じていない。
    IoT玩具は同社のCloudPets以外にも、ドイツで販売されていた人形のCaylaにも会話の流出の恐れがあり販売禁止になった事例もあり、同専門家はIoT玩具から知らぬ間に情報が盗取されている恐れがあるとして注意を呼び掛けている。