Beveiligingsonderzoeker Troy Hunt, bekend van de site HaveIBeenPwned, vond een onbeveiligde MongoDB-database met gegevens van 800.000 Cloudpets-accounts. Verschillende personen hadden zo toegang tot de data inclusief geluidsbestanden, die waren opgenomen met het speelgoed.
Hunt werd op de hoogte gesteld van het lek doordat hij een database met gegevens van 583.000 accounts in handen kreeg, die afkomstig waren van de Cloudpets-dienst van het bedrijf Spiral Toys. Tijdens het verificatieproces kwam hij erachter dat hij een deel van de gegevens in handen had en dat het om in totaal 821.296 accounts ging. De wachtwoorden waren gehasht met het sterke bcrypt-algoritme, maar de dienst stelde geen eisen aan het wachtwoord. Daardoor was een wachtwoord van een enkele letter bijvoorbeeld voldoende.
Vervolgens onderzocht hij de Cloudpets-app, waarbij hij erachter kwam dat deze verbinding maakte met een Amazon-server. De gegevens werden opgeslagen door een Roemeens bedrijf. Hunt kwam erachter dat het mogelijk is om de geluidsbestanden zonder autorisatie te verkrijgen door de locatie ervan te kennen. Bovendien zou het mogelijk zijn om de geluidsbestanden te downloaden door de uitgelekte wachtwoorden te kraken en zo op accounts in te loggen. In totaal ging het om ongeveer 2,2 miljoen geluidsopnames.
De onderzoeker schrijft dat er vier keer geprobeerd is om contact op te nemen met Spiral Toys, maar dat er geen gehoor is gegeven. Ook de Nederlandse beveiligingsonderzoeker Victor Gevers had in december al een poging ondernomen om het bedrijf op de hoogte te stellen, zo blijkt uit een tweet. Hunt verrichte samen met Niall Merrigan, die met Gevers al langer onbeveiligde MongoDB-databases in de gaten houdt, onderzoek naar de betreffende server. Daaruit bleek dat er verschillende malen toegang tot de gegevens was en dat er een poging was gedaan Spiral Toys af te persen door de database te verwijderen en om losgeld te vragen.
Aan de hand van deze bevindingen concludeert Hunt dat het bedrijf op de hoogte moet zijn geweest van het beveiligingslek. In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn en dat het in de ogen van zijn bedrijf om een 'klein incident' gaat. Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"