Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet

Beveiligingsonderzoeker Troy Hunt, bekend van de site HaveIBeenPwned, vond een onbeveiligde MongoDB-database met gegevens van 800.000 Cloudpets-accounts. Verschillende personen hadden zo toegang tot de data inclusief geluidsbestanden, die waren opgenomen met het speelgoed.

Hunt werd op de hoogte gesteld van het lek doordat hij een database met gegevens van 583.000 accounts in handen kreeg, die afkomstig waren van de Cloudpets-dienst van het bedrijf Spiral Toys. Tijdens het verificatieproces kwam hij erachter dat hij een deel van de gegevens in handen had en dat het om in totaal 821.296 accounts ging. De wachtwoorden waren gehasht met het sterke bcrypt-algoritme, maar de dienst stelde geen eisen aan het wachtwoord. Daardoor was een wachtwoord van een enkele letter bijvoorbeeld voldoende.

Vervolgens onderzocht hij de Cloudpets-app, waarbij hij erachter kwam dat deze verbinding maakte met een Amazon-server. De gegevens werden opgeslagen door een Roemeens bedrijf. Hunt kwam erachter dat het mogelijk is om de geluidsbestanden zonder autorisatie te verkrijgen door de locatie ervan te kennen. Bovendien zou het mogelijk zijn om de geluidsbestanden te downloaden door de uitgelekte wachtwoorden te kraken en zo op accounts in te loggen. In totaal ging het om ongeveer 2,2 miljoen geluidsopnames.

De onderzoeker schrijft dat er vier keer geprobeerd is om contact op te nemen met Spiral Toys, maar dat er geen gehoor is gegeven. Ook de Nederlandse beveiligingsonderzoeker Victor Gevers had in december al een poging ondernomen om het bedrijf op de hoogte te stellen, zo blijkt uit een tweet. Hunt verrichte samen met Niall Merrigan, die met Gevers al langer onbeveiligde MongoDB-databases in de gaten houdt, onderzoek naar de betreffende server. Daaruit bleek dat er verschillende malen toegang tot de gegevens was en dat er een poging was gedaan Spiral Toys af te persen door de database te verwijderen en om losgeld te vragen.

Aan de hand van deze bevindingen concludeert Hunt dat het bedrijf op de hoogte moet zijn geweest van het beveiligingslek. In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn en dat het in de ogen van zijn bedrijf om een 'klein incident' gaat. Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"

Door Sander van Voorst

Nieuwsredacteur

Feedback • 28-02-2017 08:31
67 • submitter: nickurt

28-02-2017 • 08:31

67 Linkedin

Submitter: nickurt

Lees meer

Aantal open memcached-servers daalt door Nederlandse en internationale inzet Nieuws van 12 maart 2018
Test-Aankoop: overheid moet optreden tegen privacyonvriendelijk speelgoed Nieuws van 1 december 2017
Onderzoekers vinden onbeveiligde AWS-server met 600GB aan data van bedrijven Nieuws van 1 september 2017
'Berijdersgegevens van 52 leasebedrijven waren toegankelijk via server' - update Nieuws van 7 augustus 2017
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar Nieuws van 3 augustus 2017
FBI publiceert waarschuwing voor privacyrisico van 'connected' speelgoed Nieuws van 18 juli 2017
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit Nieuws van 15 maart 2017
Grondlegger web: we moeten meer controle krijgen over persoonlijke data Nieuws van 13 maart 2017
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken Nieuws van 17 februari 2017
Aanvaller vraagt losgeld voor gekaapte onbeveiligde MongoDB-databases Nieuws van 4 januari 2017
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update Nieuws van 6 december 2016
VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn Nieuws van 9 februari 2016
Gegevens 3,3 miljoen Hello Kitty-fans staan online na server-hack Nieuws van 21 december 2015
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000 Nieuws van 2 december 2015
Meer producten en artikelen
Privacy Netwerk en systeembeheer Datalek Security

Reacties (67)

-Moderatie-faq
67
66
32
5
0
32
Wijzig sortering
batumulia
28 februari 2017 08:44
Is het vreemd als ik het een goed idee zou vinden dat privacy gevoelig speelgoed ook nog door een derde partij gecontroleerd moet worden inplaats van alleen bij de fabrikant zodat dit soort dingen minder of niet meer gebeuren?

Zoals het er nu voor staat met dit soort speelgoed zou ik het niet aanschaffen omdat ik geen idee heb wie er bij de data kan of hoe goed het beveiligd is.

[Reactie gewijzigd door batumulia op 28 februari 2017 08:45]

Tukkertje-RaH
@batumulia28 februari 2017 08:59
Een soort Kema/ISO27000 keur voor speelgoed? Vraag is dan, "wat is privacy gevoelig" (verschilt wellicht per land), en pas daarna kan je ingaan op de beveiligingseisen. Ik kan me voorstellen dat dit voor de producenten een onaanvaardbaar lang traject wordt: de time-to-market wordt dan voor een groot deel afhankelijk van keuringsinstanties.

Neemt niet weg dat bescherming van gegevens meer prioriteit moet krijgen: niet alleen in de speelgoedbranche maar overal. Speelgoed ligt nu even onder vuur, maar telco's slaan voicemails op, auto-fabrikanten met hun connected car weten precies waar de auto is en waar jij bent (dankzij die app op je telefoon), en dan hebben we het nog niet over smart TVs, bonus kaarten, etc...
DrClaw
@Tukkertje-RaH28 februari 2017 09:46
Bij voorbaat mijn excuses dat ik alleen reageer met links, maar er is dus weldegelijk wetgeving voor:

De Wet Bescherming Persoonsgegevens (zegt niet veel over ICT):
https://autoriteitpersoon...cherming-persoonsgegevens

De Algemene verordening Gegevensbescherming (zegt wat meer over ICT)
https://www.autoriteitper...ening-gegevensbescherming

Die laatste verplicht een zogenaamde bewerkersovereenkomst op te stellen voor alle schakels in de keten. En daar kan dan weer een Service Organisation Control rapport bij helpen:
http://www.isae3402.nl/wat-is-isae3402

Eindgebruikers die een dienst afnemen worden nu een beetje in het diepe gegooid. Enerzijds zijn de leveranciers verplicht om aan de wetten te voldoen. En andererzijds worden ze pas ter verantwoording geroepen als het kwaad al is geschied. Je zoekt dus als endgebruiker naar een stempel vooraf.

Ik heb geen idee of er zoiets als een keurmerk voor diensten is? Tot die tijd moet iedereen gewoon zelf goed opletten :S
Arnoud Engelfriet
@DrClaw28 februari 2017 16:38
Wat mij betreft wordt het de hoogste tijd om directe aparte wetgeving hierover op te nemen. Het is toch raar dat we wél gewoon wetten hebben over fysieke veiligheid maar niet over digitale, terwijl die laatste veel méér schade aan kan richten?
DrClaw
@Arnoud Engelfriet28 februari 2017 17:32
Wijzigingen in wetgeving doorvoeren om ze vervolgens te kunnen handhaven kost nu eenmaal tijd.

De nieuwe wet (AVG) treedt eind mei 2018 in werking. In de periode van overgang van de huidige wetgeving (WBP) naar de nieuwe hebben bedrijven voldoende tijd gekregen om zich voorbereiden op de nieuwe situatie.

Binnen de EU gelden straks, maar in principe reeds nu al, dezelfde wetten en dus dezelfde afspraken.

Binnen Europa maar buiten de EU (dus bv naar Noorwegen, Liechtenstein enz) gelden wel aparte afspraken maar heeft men zich verplicht om de eigen wetten richting de EU wetgeving te schrijven. Vanaf dat moment gelden dus dezelfde wetten omtent privacy in geheel Europa.

Voor de overige landen kkan men terugvallen op een aantal frameworks:
  • het Modelcontract of bewerkersovereenkomst voor de doorgifte van persoonsgegevens - een algemeen contract waarin rechten en verplichtingen omtrent de bescherming van persoonsgegevens benoemd staan
  • EU-US Privacy shield - framework voor het uitwisselen van persoonsgegevens tussen EU en US.

[Reactie gewijzigd door DrClaw op 28 februari 2017 17:39]

kaas-schaaf
@Tukkertje-RaH28 februari 2017 09:06
Iso27000 is zo lomp dat kleine bedrijven dan per definitie uitgeschakeld zijn. Ik ben voor verplichten van security, maar dit soort regels zijn weer overdreven.
CivLord
@kaas-schaaf28 februari 2017 09:36
Ik zou zeggen: maak de eisen en de boetes/ maatregelen bij overtreding zo draconisch (en per land op belangrijke punten anders) dat geen enkele fabrikant het nog in zijn kop haalt om speelgoed/ apps te ontwikkelen waarbij gegevens/ opnames van kinderen centraal opgeslagen of benaderbaar zijn.
tmfh
@CivLord28 februari 2017 09:45
Dan heb je hetzelfde probleem dat alle kleine bedrijven uitgeschakeld zijn. Enkel de grote fabrikanten zullen dan nog geluidsopnames kunnen opslaan ('voor trainingsdoeleinden').
CivLord
@tmfh28 februari 2017 09:48
Ik bedoel juist te zeggen dat het zo ingewikkeld en lastig moet worden gemaakt dat ook grote bedrijven er niet aan beginnen.
Fireshade
@CivLord28 februari 2017 11:30
Dat werkt niet, want het gaat dus wel lukken op den duur.
Als je het wil verbieden, zeg dat dan gewoon. Dat is het duidelijkst ;)
CivLord
@Fireshade28 februari 2017 12:39
Wanneer het ze lukt om aan alle eisen te voldoen is er ook geen probleem. :)
Fireshade
@CivLord28 februari 2017 12:48
geen probleem. :)
Het gevolg: alleen grote bedrijven hebben het geld en de capaciteit om zoiets te klaren. De overgrote meerderheid van kleine bedrijven en hun eventuele innovaties zet je dan "buiten spel" :P

Het gaat niet om lastig/ingewikkeld maken in de wet. Het gaat om correctheid. De juridische gevolgen voor er niet aan voldoen moeten dan ook stevig omhoog. In principe kunnen zware straffen ook al voldoende 'motiverend' zijn om het goed te doen. Daar lijkt het nu niet op, zoals dat met deze Spiral Toys gaat.
tweaknico
@Fireshade28 februari 2017 13:14
Dat is nog maar de vraag.
Beveiliging is GEEN rocket science..., en enige zorgvuldigheid en verantwoordelijkheid voor een product nemen hoort bij het maken ervan.
Omdat Cobalt van die mooie harde kleuren heeft is het enige tijd een populaire kleurstof geweest. Maar het is erg onverstandig om nu nog cobalt in speelgoed te verwerken. ==> afkeur.

Een database neerzetten zonder toegangs ww. is misdadig.!
glaasjejus
@CivLord28 februari 2017 11:37
Dan ontneem je mensen de keuze om dergelijk speelgoed aan te schaffen, terwijl het lang niet in alle gevallen privacy problemen hoeft op te leveren. Onwenselijk wat mij betreft.

Het is simpeler om de verkoop direct aan kinderen zelf te verbieden. Dan krijgen kinderen het niet zomaar in handen en gaat er tegelijkertijd een waarschuwingssignaal uit naar de ouders.
CivLord
@glaasjejus28 februari 2017 12:41
Zolang er geen geluidsopnames worden gemaakt die centraal worden opgeslagen is er ook geen probleem. Waarom zouden geluidsopnames die door speelgoed gemaakt worden bewaard moeten worden?
Jorgen
@Tukkertje-RaH28 februari 2017 11:37
En zolang veel keurmerken facultatief zijn, of heel makkelijk verkrijgbaar, zegt het nog steeds weinig.
robvanwijk
@Tukkertje-RaH28 februari 2017 18:44
Ik kan me voorstellen dat dit voor de producenten een onaanvaardbaar lang traject wordt: de time-to-market wordt dan voor een groot deel afhankelijk van keuringsinstanties.
Daar heb je op zich best een punt, maar in de huidige situatie wordt de "time-from-market" heel erg kort en bepaald door onafhankelijke beveiligingsonderzoekers en waar die toevallig induiken. Is dat zoveel beter?

Daarnaast, als er geen keurmerk is en de markt wordt overspoeld door prutsers, hoe lang duurt het dan voordat de consument eieren voor zijn geld kiest en al het speelgoed met ingebouwde microfoon simpelweg automatisch laat liggen "want het zal vast wel weer brak zijn"? Ook dat is niet in het voordeel van producenten die wel fatsoenlijke producten leveren.
Tormbo
28 februari 2017 08:45
Tja, bij mobiele apps en games blijf je toch vaak zien dat het snel geld binnen harken is zonder oog voor de mogelijke gevolgen van een houtje-touwtje client-server interface met bijbehorende brakke beveiliging.

Allicht wordt het tijd dat de grote twee(Apple en Google) hier ook eisen aan gaan stellen.
dennissimeau
@Tormbo28 februari 2017 08:53
Allicht wordt het tijd dat de grote twee(Apple en Google) hier ook eisen aan gaan stellen.
I'm denk alleen dat het wel heel erg moeilijk en haast ondoenlijk is om ten eerst elke developer helemaal door te lichten en daarnaast eisen dat ze een bepaalde infrastructuur hanteren. Het eisen van Https verbindingen is denk ik het beste wat op dit moment haalbaar is als eis.
Tormbo
@dennissimeau28 februari 2017 08:56
Je kunt ze op zijn minst laten instemmen met bepaalde voorwaarden zoals je nu ook moet doen, alleen die voorwaarden uitbreiden om ook database en applicatiebeveiliging te omvatten. Je kunt hier desgewenst een flinke straf aan koppelen.

Op dit moment gebeurt (in ieder geval bij Google Play) precies hetzelfde, je stemt in met voorwaarden en er zal ongetwijfeld steekproefsgewijs worden gecontroleerd of je hier al dan niet aan voldoet.
DigitalExorcist
@dennissimeau28 februari 2017 08:57
Probleem is dat HTTPS totaal geen beveiliging is. Ja; het is een zekerheid dat je communiceert met wie je denkt te communiceren. Maar dat je ondertussen met de duivel hemzelve kunt communiceren maakt voor HTTPS geen bal uit.
Morgan4321
@DigitalExorcist28 februari 2017 12:26
Zelfs dat weet je niet zeker, want het trustmodel is volkomen waardeloos. Haast elke virusscanner gebruikt lokale MITM attacks om zich in https verkeer te wurmen. Certificate pinning in apps voorkomt dat het met apps ook kan, maar dat gebruiken de meeste ontwikkelaars niet.
DigitalExorcist
@Morgan432128 februari 2017 15:23
Ja ok, als je DPI voor https wil gebruiken zul je een tussenliggend certificaat moeten installeren (wat je virusscanner dan ook doet). Zelfde met corporate firewalls, die kunnen dat ook, maar niet 'zomaar'. HTTPS biedt wel enige bescherming van zichzelf maar het is inderdaad niet waterdicht en het zegt (te) weinig over de partij waarméé je communiceert, en of die de data wel eerlijk behandelen.
Cerberus_tm
@DigitalExorcist28 februari 2017 15:35
Hoezo is het zeker dat je communiceert met wie je denkt te communiceren? Het enige wat je weet is toch dat er een certificaat gebruikt is? Niet of dat het door jou gewenste certificaat is. En je kunt wellicht de geregistreerde naam zien, maar je weet niet of dat de naam is die je zou willen zien.
DigitalExorcist
@Cerberus_tm28 februari 2017 23:36
Dat ligt aan het soort validatie dat gebruikt is bij het uitgeven van het certificaat. Als het een vertrouwde instantie is zal er een bepaalde controle aan vooraf gegaan zijn, afhankelijk van het soort certificaat zijn die controles strikter
Cerberus_tm
@DigitalExorcist1 maart 2017 00:56
Maar als gebruiker weet ik dat toch allemaal niet? Ik ga naar een pagina en zie dat het een https-site is, maar verder heb ik dan geen idee wat voor soort certificaat is en of het de site is die ik wilde bereiken.
DigitalExorcist
@Cerberus_tm1 maart 2017 08:28
Dat klopt, maar als ik Tweakers.net intik in m'n browser verwacht ik dáár ook uit te komen. Als ik Google intik, kom ik bij Google terecht.

Beiden gebruiken HTTPS en m'n browser zegt 'Veilig'. Dan ga ik er van uit dat ik communiceer met wie ik denk te communiceren.

Wat Tweakers of Google vervolgens met mijn data doet, da's een ander verhaal :)

En dan ben ik nog aardig op de hoogte van de techniek van alles. Ik bekijk het nu vanuit een 'gewone' gebruiker die wil browsen, internetbankieren, Google'n, noem maar op.
Cerberus_tm
@DigitalExorcist1 maart 2017 16:58
Maar vaak ben je niet op een site omdat je de url ingetikt hebt, maar omdat je op een link hebt geklikt ergens, in een e-mail of op een pagina. Of via een bladwijzer.

Maar zelfs al tik ik de url in, stel dat ik een foutje maak, of dat Tweakers inmiddels een ander domein heeft. Dan kan de site waarop ik beland een certificaat hebben en https actief zijn. Maar ik kan dan als leek toch niet zien of ik echt met de organisatie te maken heb waarnaar ik op zoek was, de echte Tweakers?

Je moet echt heel precies de url checken, of daar niet net iets geks in staat. En checken dat het domein niet in iemand anders handen is gekomen. Tegenwoordig sturen zelfs ABN en Paypal je naar allerhande domeinen (wat ik heel dom van ze vind), zoals paypal-communications.com en icscards.com en van alles.

Hoe kan een leek makkelijk beoordelen of de site echt beheerd wordt door de organisatie waarnaar hij op zoek is? Volgens mij kan dat niet met het huidige https-systeem. Het enige wat je weet is dat de inhoud van je communicatie met dat domein niet gelezen kan worden door een derde; verder weet je helaas niets zeker.

[Reactie gewijzigd door Cerberus_tm op 1 maart 2017 17:00]

StackMySwitchUp
28 februari 2017 08:41
In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn
Alleen weet hij dat niet want er zit geen autorisatie op en dus kan iedereen bij die files. Wat een shitshow weer.. wanneer leren ze het nou eens?
Kees
@StackMySwitchUp28 februari 2017 08:59
Daar zat wel autorisatie op. Als ik het goed lees moest je wel inloggen (met de gebruikersnaam & wachtwoord dat je uit die mongodb kon halen) voordat je de geluidsbestanden kon downloaden.
fifef
@Kees28 februari 2017 09:08
Ik lees het als: Als je de locatie van audiobestanden kunt gokken heb je geen login gegevens nodig.
"Hunt kwam erachter dat het mogelijk is om de geluidsbestanden zonder autorisatie te verkrijgen door de locatie ervan te kennen. "
StackMySwitchUp
@fifef28 februari 2017 11:24
Dat dus. :)
unglaublich
@StackMySwitchUp28 februari 2017 08:57
Als er geen vermeldingen in het toegangs-logboek staan kan je dit wel uitsluiten, aangenomen dat andere systemen wel dicht zijn.

En wie is 'ze' trouwens? Dit is een op zichzelf staand bedrijf dat een op zichzelf staande fout maakt.

[Reactie gewijzigd door unglaublich op 28 februari 2017 08:57]

Tormbo
@unglaublich28 februari 2017 08:58
Daarbij ga je er vanuit dat ze wel de moeite hebben genomen om toegangslogging in te regelen.
unglaublich
@Tormbo28 februari 2017 09:09
Het enige dat ik aanneem is dat Mark Myers niet liegt:
Mark Myers beweert dat niets gestolen is. Hij heeft dus een mechanisme om dit te controleren anders is het een leugen. Uitgaande van zijn onschuld (tot het tegendeel is bewezen) is de conclusie dat hij logging heeft.

[Reactie gewijzigd door unglaublich op 28 februari 2017 09:10]

Kees
@unglaublich28 februari 2017 09:16
Of: uitgaande van dat iedereen onschuldig is; dan is er pas iets gestolen als iemand opstaat en zegt alle bestanden te hebben.
unglaublich
@Kees28 februari 2017 10:32
Mijn aanname is waar met een kans p die ergens tussen de 0 en 1 ligt (zeg, gebasseerd op mijn ervaring 0.9). Jouw aanname is waar met een kans p6e9 en dus praktisch altijd onwaar.
Morgan4321
@unglaublich28 februari 2017 12:29
Nou, ik denk dat hij wel liegt, en nog overduidelijk ook: immers, Troy Hunt heeft die gegevens en hij is vast niet iemand die rechtmatige toegang heeft.vEn Mark Myers weet dat Troy toegang heeft.

Blijft de vraag staan: waarom moeten die geluidsopnamen opgeslagen blijven staan? Verwerken en weggooien is toch voldoende? Of wil men straks de kinderen die dit gebruiken gaan doodgooien met gepersonaliseerde reclames?
Cerberus_tm
@Morgan432128 februari 2017 15:36
Of gewoon de gegevens verkopen...
MsG
@unglaublich28 februari 2017 15:00
Je gaat toch zelf ook uit van zijn onschuld tot het tegendeel bewezen is. Zo redeneert hij ook over dat er niets is gestolen. Bewezen dat iets gegarandeerd níet gebeurd is is ook altijd velen malen moeilijker dan bewijzen dat iets wél gebeurt is.
robvanwijk
@unglaublich28 februari 2017 18:35
Het enige dat ik aanneem is dat Mark Myers niet liegt:
Mark Myers beweert dat niets gestolen is.
Leuke aanname, maar gegeven het volgende
Hunt werd op de hoogte gesteld van het lek doordat hij een database met gegevens van 583.000 accounts in handen kreeg, die afkomstig waren van de Cloudpets-dienst van het bedrijf Spiral Toys.
Hunt verrichte samen met Niall Merrigan, die met Gevers al langer onbeveiligde MongoDB-databases in de gaten houdt, onderzoek naar de betreffende server. Daaruit bleek dat er verschillende malen toegang tot de gegevens was en dat er een poging was gedaan Spiral Toys af te persen door de database te verwijderen en om losgeld te vragen.
heb ik daar "zeer ernstige twijfels over". De claims zijn keihard met elkaar in tegenspraak: (minstens) één van de twee moet ongelijk hebben (en, gegeven de omstandigheden, staat "ongelijk hebben" hier gelijk aan "liegen").

Als je mij vraagt om te kiezen tussen het woord van drie beveiligingsonderzoekers (waarvan minstens één met een solide reputatie) of het woord van één persoon waar ik nooit eerder van gehoord heb, dan neig ik voorlopig toch echt even naar de versie waarin meneer Myers keihard staat te liegen (in de hoop zijn bedrijf te redden).
StackMySwitchUp
@unglaublich28 februari 2017 11:28
"Ze" zijn de bedrijven die gevoelige data van klanten opslaan op zo'n manier dat er wel HEUL makkelijk misbruik van gemaakt kan worden.. Als je zonder autorisatie geluidsbestanden binnen kunt halen (je hoeft enkel de locatie te weten, en als die op een logische manier is opgeslagen, dan gooi je er een crawlertje overheen en je hebt ALLES)
Ik geloof echt niet dat ze gaan bijhouden wie (IP-adres) er wel en geen toegang mocht hebben, en ik denk ook niet dat ze dit via een connection broker doen (want dan zou de boel per slot van rekening niet publiekelijk -lees, meerdere IP's- beschikbaar hoeven zijn)
Dus daarom denk ik dat meneer de CEO zich verschuilt achter zijn gebrek aan IT kennis, en er wel degelijk bestanden gedownload (kunnen) zijn door onbevoegde derden, en de detectie ervan niet erg makkelijk zal zijn.
i-chat
@StackMySwitchUp28 februari 2017 08:58
na een boete van 5x de jaaromzet wegens het schenden van privacy van kinderen + 1miljoen euro voor elke maand dat de database nog 'geluidsbestanden bevat zonder explicite toestemming van ouders.
tmfh
@i-chat28 februari 2017 09:49
5x de jaaromzet? Bedrijf falliet, inboedel verkocht. Ben je alsnog je geluidsdata kwijt aan een 'data analyse' bedrijf.

Een boete van deel van de jaaromzet, jazeker. Misschien nog iets met nalatigheid.
CabezaDelZorro
@tmfh28 februari 2017 09:55
Ik heb begrepen dat het bedrijf al op omvallen staat (minder dan een halve cent per aandeel lijkt me niet gezond maar ik ben geen econoom ofzo).
R4gnax
@tmfh28 februari 2017 22:19
5x de jaaromzet? Bedrijf falliet, inboedel verkocht. Ben je alsnog je geluidsdata kwijt aan een 'data analyse' bedrijf.
Klein probleem; die data mag niet zonder meer overgenomen worden. Daar zitten allerlei verplichtingen aan.

Check bijv. http://www.davidslaw.nl/b...oper-van-een-databestand/ over een recente casus in Duitsland, waarvan een zelfde soort tegenwoordig ook in Nederland voorbij zou kunnen komen.

[Reactie gewijzigd door R4gnax op 28 februari 2017 22:20]

Woesjah
@StackMySwitchUp28 februari 2017 09:02
Misschien ziet hij gestolen als 'kwijt, niet meer in mijn bezit' :P
RVervuurt
@StackMySwitchUp28 februari 2017 09:06
Ik denk dat zijn definitie van "gestolen" is dat ze verwijderd zijn. En als je kan kopiëren, waarom zou je dan verwijderen?
Gamebuster
28 februari 2017 08:56
Dit soort grappen moeten echt afgelopen zijn. Lekkende apps, software, IOTs, TV,s enz. Dit moet echt niet meer kunnen.

Het is lastig om je software goed te beveiligen, ik weet het, maar ik heb het idee dat het overgrote deel van de bedrijven niet verder gaan dan de standaard beveiliging die met hun development kit komt en niet eens weten in hoeverre hun software (on)veilig is.

"If it compiles, it ships"

Als software developer merk ik ook dat klanten beveiliging twijfelachtig serieus nemen. Aan de ene kant vinden ze het belangrijk, maar dan gaat het vooral om onbelangrijke/triviale zaken. Private keys in apps die zo goed als toegang geven tot een database, beperkte "ownership" checks bij inschieten van relatie-IDs in formulieren, enz.

Het probleem is dat vele frameworks en libraries gewoon onvoldoende "secure by default" zijn omdat software dat wel veilig is, vaak net iets ingewikkelder/onhandig werkt.

Wellicht wordt het tijd voor een echt keurmerk; Een "deze software is veilig" keurmerk. Het probleem hiervan is dat je dit alleen kan "garanderen" met zeer uitgebreide en dure checks in de broncode van de software. Bovendien, bij cloud software die telkens updates krijgt, moet je die beveiliging blijvend vernieuwen. Dure grap.

Daartegen is het wel belangrijk. Software-lekken zijn een serieus issue en in onze data-economie wordt het probleem alleen maar groter en groter.

[Reactie gewijzigd door Gamebuster op 28 februari 2017 08:58]

CabezaDelZorro
28 februari 2017 09:11
Wat in dit artikel niet staat (en in die van Troy Hunt niet met zoveel woorden, maar wel wordt geimpliceerd) is het volgende:

De geluidsopnamen waren vrij op te vragen zonder nodige credentials. Echter de URL bevat een GUID, en deze zijn niet echt gemakkelijk te gokken of over te itereren. In het artikel staat echter ook dat de open Mongo database een tabel met 2.2 miljoen records bevat met info over de audio recordings. Ik vermoed dat hierin de GUIDs staan, en het daarna kinderlijk invoudig is om alle geluids fragmenten te downloaden.
CH4OS
28 februari 2017 09:57
In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn dat het in de ogen van zijn bedrijf om een 'klein incident' gaat. Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"
Laat eigenlijk heel goed zien dat je met een grote boog om dit bedrijf en hun speelgoed heen moet lopen. Ze hebben geen benul van zowel beveiliging als de impact ervan. Vervolgens niet thuis willen geven en de voet stijf houden. Het siert ze in elk geval niet.
zovty
28 februari 2017 08:47
De wachtwoorden waren gehasht met het sterke bcrypt-algoritme
Netjes.
Bovendien zou het mogelijk zijn om de geluidsbestanden te downloaden door de uitgelekte wachtwoorden te kraken en zo op accounts in te loggen.
Hmhm, ja, maar erg onwaarschijnlijk dus, immers:
De wachtwoorden waren gehasht met het sterke bcrypt-algoritme
Daardoor was een wachtwoord van een enkele letter bijvoorbeeld voldoende.
Hmja, maar een hacker weet dus niet of je dat ook daadwerkelijk gedaan hebt.
Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"
Is ook gewoon zo.
kazz1980
@zovty28 februari 2017 08:57
Een wachtwoord van 1 letter is met een tooltje natuurlijk binnen seconden gekraakt. Laat dat even los op de gehele database en je hebt in korte tijd alle accounts met dergelijke korte wachtwoorden binnen. Vind het hele verhaal verder niet heel erg sterk - maar de eisen aan een wachtwoord hadden wat sterker gemogen. Anderzijds is dit ook wel weer een stukje verantwoordelijkheid van de eindgebruiker zelf.... Als die een risico wil nemen door een wachtwoord van 1 letter te kiezen, tja. Dan moet die dat misschien ook maar gewoon zelf weten ipv afdwingen van belachelijk complexe wachtwoorden zoals steeds vaker gebeurt (en wat in de praktijk ook niet erg veilig lijkt wegens bekende post-its met wachtwoorden).
CabezaDelZorro
@kazz198028 februari 2017 09:06
Post-its met hele complexe wachtwoorden zijn wat dat betreft vrij veilig vanuit het oogpunt dat jij de enige bent die fysieke toegang tot de post-it heeft. Een fysieke inbraak om jou post-it buit te maken is een significant grotere horde dan een hack. En zeker een stuk minder schaalbaar. Als jij persoonlijk een doelwit bent dan is dat wat anders natuurlijk, maar tegen dit soort datalekken kan je misschien beter post-its met sterke wachtwoord in je bureaula hebben liggen dan een zwak wachtwoord kiezen of wachtwoorden hergebruiken.
kazz1980
@CabezaDelZorro28 februari 2017 09:08
Eens. Maar wat ik vooral bedoelde is dat ik vind dat een bedrijf daarin ook verantwoordelijkheid mag leggen bij de eindgebruiker. Vind die een eenvoudig wachtwoord fijner/veiliger dan een ingewikkeld wachtwoord dat op een post-it moet: prima! Maar dan moet diegene niet gaan zeuren als hij/zij gehackt wordt op een wachtwoord van 1 letter... Dat risico heb je dan zelf genomen. Wel vind ik het netjes dat een bedrijf er voor waarschuwt
CivLord
@kazz198028 februari 2017 09:44
Maar is het de eindgebruiker duidelijk welk risico er is?
Denkt de eindgebruiker dat hij een gebruikersnaam aanmaakt om enkel highscores op te slaan of weet hij ook dat er geluidsopnames gemaakt en opgeslagen worden?
In het eerste geval blijft een kort/ zwak wachtwoord slordig, maar levert geen risico's op.
kazz1980
@CivLord28 februari 2017 09:53
De eindgebruiker moet het inderdaad wel logischerwijs kunnen weten. Dus indien niet heel evident moet het bedrijf de eindgebruiker hierop wijzen. En dan bij voorkeur niet middels kleine lettertjes ergens in de algemene voorwaarden, maar gewoon duidelijk.
glaasjejus
@kazz198028 februari 2017 11:52
Dat zijn van die regeltjes die een IT afdeling makkelijk roept, maar waarvan de consquenties erg onduidelijk zijn. Als het puntje bij paaltje komt, wat maakt een verzekeringsmaatschappij of rechter er dan van?

Account A is misbruikt, wachtwoord was dhedheudhe, voldoet niet aan de bedrijfsregels regels dus gebruiker A draait persoonlijk op voor de schade.
Account B is misbruikt, wachtwoord was d!edh4U#he, voldoet wel aan de bedrijfsregels, dus bedrijfsverzekering draait op voor de schade.

Ik geloof niet dat je dergelijke regels zo afgedwongen kunt krijgt. Bedrijven die beveiliging serieus nemen kiezen dan ook vrijwel altijd voor een technische oplossing, zoals een personeelspas die in een kaartlezer gestopt moet worden als extra beveiliging.

Overigens helpen langere wachtwoorden niet zo heel veel. Die gebruiker die hier "1" als wachtwoord had zou bij een 8-karakter eis waarschijnlijk gewoon "11111111" of "12345678" gebruiken. Ik kom dit soort wachtwoorden - helaas - zeer regelmatig tegen.
kazz1980
@glaasjejus28 februari 2017 12:33
Klopt. Maar je kunt ook afdwingen dat een wachtwoord minimaal 8 karakters moet zijn met daarin kleine letters, hoofdletter, leestekens en cijfers waarbij opvolgende of gelijke tekens niet na mekaar mogen komen en die niet gelijk mag zijn aan de laatste 8 wachtwoorden. Daadwerkelijk ooit gehad bij een opleidings systeem ergens.... Koos daar in de praktijk maar voor een opvolging van volstrekt random tekens - anders was er niet uit te komen! En dan iedere keer aanvinken dat ik het wachtwoord vergeten was :P Niet te doen!
R4gnax
@kazz198028 februari 2017 22:25
Klopt. Maar je kunt ook afdwingen dat een wachtwoord minimaal 8 karakters moet zijn met daarin kleine letters, hoofdletter, leestekens en cijfers waarbij opvolgende of gelijke tekens niet na mekaar mogen komen en die niet gelijk mag zijn aan de laatste 8 wachtwoorden.
En dan gaan mensen het op een briefje schrijven en achter hun scherm of onder hun toetsenbord plakken. Wordt daar op gecontroleerd, dan bewaren ze het wel in hun portemonnee. Of ze zetten het in een tekstbestandje op hun privé smartphone die volgeladen zit met lekke apps en malware.

[Reactie gewijzigd door R4gnax op 28 februari 2017 22:27]

kazz1980
@R4gnax1 maart 2017 09:32
Exact.
CabezaDelZorro
@zovty28 februari 2017 08:57
Ik heb het artikel van Troy Hunt vanochtend gelezen. Ook al was het een sterk hashing algorithme, door het ontbreken van wachtwoord eisen werd het met een simpele password dictionary eenvoudig om een deel van de gehashte wachtwoorden snel te kraken. Daarnaast bleek de instructive video van de fabricant als voorbeeld wachtwoord "qwe" te gebruiken.

Wat betreft het artikel hier:
Beveiligingsonderzoeker Troy Hunt, bekend van de site HaveIBeenPwned, vond een onbeveiligde MongoDB-database met gegevens van 800.000 Cloudpets-accounts.
Dit is niet helemaal correct. Hij heeft de informatie toegestuurd gekregen van een andere persoon die hem vaker attendeerd op beschikbaarheid van lekken. Wat vervolgens in de tweede allinea goed staat.
Haunting_Spirit
28 februari 2017 09:28
Kreeg vanmorgen al een mailtje van You've been Pwned met de melding dat mijn e-mailadres er ook tussen zat. Gelukkig heb ik dat ding vijf minuten gebruikt en alleen om even te testen.

Wel vreemd dat ze zoiets niet goed beveiligen.
Videopac
28 februari 2017 10:21
Stel als eis dat, indien (speel)goed toegang tot internet heeft de fabrikant aantoont hoe deze gedurende de levensduur van het product de verbinding veilig laat verlopen. Idem eventuele data-opslag, voordat het voordat (speel)goed toegelaten wordt op de (EU-)markt. Dit is waarschijnlijk een uitbreiding van het mandaat van de NVWA en andere instanties.
ongekend41
7 maart 2017 23:59
Ze moeten behoorlijk wat vragen gaan beantwoorden, ben benieuwd. Zie: http://files.troyhunt.com...%20re%20Data%20Breach.pdf
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee