Du er logget ind

Din profil kan bruges på Berlingske.dk, Business.dk og bt.dk, der alle er en del af Berlingske Media. Du kan altid logge ud eller opdatere dine oplysninger ved at klikke på dit profilnavn.

To millioner lydfiler med børns samtaler gennem interaktive tøjbamser lækket

Firmaet bag CloudPets lagrede lydfiler mellem forældre og børn på en usikker server, som hackere nemt kunne tilgå.

Genrefoto. REUTERS/Pawel Kopczynski/Files (GERMANY - Tags: CRIME LAW SCIENCE TECHNOLOGY)
Genrefoto. REUTERS/Pawel Kopczynski/Files (GERMANY - Tags: CRIME LAW SCIENCE TECHNOLOGY)

Salgstalen fra amerikanske CloudPets' Facebook-side har fået ny betydning efter en omfattende lækage af børns samtaler med bamser.

»Send en besked til hvemsomhelst, fra hvorsomhelst gennem et CloudPet,« skriver firmaet.

Det var næppe tanken, at børnenes beskeder til tøjdyr faktisk skulle nå »hvemsomhelst«. Men det er tilsyneladende sket.

Tidligere på ugen kom det frem, at firmaet Spiral Toys' CloudPets-servere er blevet tilgået af uvedkomne hackere, som har stjålet brugernavne og kodeord på omkring 800.000 CloudPets-brugere.

Derudover har hackere kunnet downloade omkring to millioner lydfiler med samtaler og beskeder, som små børn har sendt eller modtaget gennem legetøjet.

Ifølge IT-sitet Vice Motherboard er der ikke tale om et særligt avanceret hackerangreb, eftersom dataene lå åbent tilgængeligt mellem 1. juledag og frem til første uge af januar og ikke var beskyttet af et kodeord.

Firmaet Spiral Toys' Cloudpets er såkaldt interaktive tøjdyr, som børn kan tale til og med, og som forældre eller andre via en app kan sende beskeder til deres børn igennem.

Konceptet forklares også i denne reklame for produktet.

Beskederne og samtalerne bliver lagret som lydfiler i »skyen« på lejet lagerplads online, og det er denne lagerplads, der altså tilsyneladende ikke har været sikret.

Troy Hunt, som blogger om IT-sikkerhed og står bag hjemmesiden haveibeenpwned.com (er jeg blevet hacket.com, red.), har undersøgt den lækkede data.

Han bekræfter lækagen og skriver i et længere blogindlæg om sagens tekniske detaljer, at »CloudPet-dataen blev tilgået mange gange af uautoriserede parter, før den blev slettet«.

Firmaet Spiral Toys blev ifølge Vice Motherboard flere gange kontaktet af tech-sitets journalist og gjort opmærksom på lækagen, første gang 31. december.

Firmaet bedyrer dog i en redegørelse sendt til myndighederne i hjemstaten Californien, at man første gang hørte om lækagen 22. februar.

»Påstanden om, at mere end to millioner beskeder er lækket, vildleder læsere til at tro, at alle beskeder og billeder på vores servere er kommet i hackeres besiddelse. I den lækkede data er alle kodeord krypterede. Beskeder og billeder på en kundes konto ville kun kunne tilgås, hvis en hacker 'gættede' kodeordet,« skriver Spiral Toys.

Den forklaring forklaring køber Troy Hunt bare ikke.

»Ingen kodeord var krypterede«, skriver han og peger på, at det eksempelvis var muligt at tilgå en mappe på den kompromitterede server kaldet »VoiceMessage« med 2.182.337 lydfiler.

Og det er ifølge IT-sikkerhedsspecialisten et problem.

»De gennemsnitlige forældre (...) forstår ikke nødvendigvis, at enhver af de optagelser - disse intime, hjertelige og ekstremt personlige optagelser - mellem en forælder og deres barn er gemt som en lydfil på nettet«.

Sagen om CloudPets-lækagen rammer ned i den seneste debat om interaktivt legetøj.

Tyskland har eksempelvis forbudt en lignende internetforbundet dukke, My Friend Cayla, som fortsat forhandles i Danmark.

Tyskernes bekymring er, at de interaktive dukker kan bruges af hackere til målrettede angreb mod børn.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer.

Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

For få adgang til indhold på Berlingske.dk skal du tillade visning af annoncer på Berlingske.dk. Se hvordan du gør her..

Tak for din forståelse.

Hov! Hvor blev min artikel af..!?

Du er træt af reklamer. Vi ved det godt! Men de betaler for den artikel, du sidder og læser. Vi vil derfor sætte stor pris på, at du tilføjer Berlingske.dk til din adblocker's "whiteliste".

Tak for din forståelse.