Tyskland har nyligen förbjudit försäljningen av dockan ”Cayla”. Dockan ansågs vara en sekretessrisk, och ett av målen med förbudet var ”att skydda de mest sårbara i vårt samhälle.” Vad är det fråga om?

Jo, Cayla är en ”smart” docka, alltså en docka som har en liten dator i sig och är kopplad till nätet. Cayla har också mikrofon och kan därför potentiellt spionera på sin omgivning. Förbudet är inte det första – Tyskland har tidigare också förbjudit smartdockan ”Hello Barbie” (vilken döptes om till ”Stasi Barbie”).

Internet-anslutna leksaker. Vad kunde gå fel?… (Bildkälla: Mattel)

Med all orsak med tanke på att säkerhetsforskaren Matt Jakubowski visat att säkerheten i Hello Barbie dockan har klara brister. Det går bl.a. att luska ut var ägaren bor, att komma åt ägarens nätverk och att lyssna på inspelningarna som dockan gjort av barnets diskussioner med dockan (se även t.ex. The Huffington Post).

Historier om fenomenet ”Internet of Things”, alltså Internet-uppkopplade saker, som visar sig ha sårbarheter är inget nytt. Jag intervjuade F-Secures forskningschef Mikko Hyppönen om ämnet för en tidigare blogg.

Det som gör två av de senaste fallen inom området speciella – speciellt otrevliga – är att de klart visar hur sårbarheterna kan utsätta även barn.

Dataläckande leksaker: fallet VTech

Det första exemplet är ett av historiens största dataintrång, vilket Motherboard rapporterade om i slutet av 2016. Intrånget gällde företaget VTech som tillverkar teknikinriktade leksaker för barn.

Någon utomstående person kom åt personlig information om knappa 5 miljoner föräldrar och mer än 200.000 barn. Bland informationen fanns hemaddresser, e-postadresser, lösenord och säkerhetsfrågor. Lösenorden var ”hashade”, alltså inte i vanlig läsbar klartext. Däremot var säkerhetsfrågorna i klartext. Detta innebär att man skulle kunna kringgå lösenordet och använda säkerhetsfrågornas svar för att komma åt kontona.

Bland den läckta datan fanns också barnens kön och födelsedatum. Säkerhetsforskaren Troy Hunt analyserade fallet och konstaterade att det fanns tillräckligt med data för att kunna länka barn till deras föräldrar och alltså kunna luska ut barnens namn, ålder och hemadress.

Spionerande och dataläckande leksaker: fallet CloudPets

Ett ännu färskare (och på många sätt ännu otrevligare) fall kom fram tidigare i år i och med fallet CloudPets.

Mera Internet-anslutna leksaker. (Vad kunde gå fel?…) Bildkälla: CloudPets.com

Idén bakom CloudPets är att föräldrar kan kommunicera med sina barn även när de är på resa. De kan spela in en hälsning via en app på telefonen, och så kan meddelandet spelas upp av mjukisdjuret. Barnen likaså kan använda mjukisen för att spela in meddelanden åt föräldern var de än rör sig.

Du kan kanske gissa vart den här historien är på väg: inte bara visade säkerhetsforskare att CloudPets mjukisdjuren kan användas av utomstående för att spionera på barn. Det kunde man nästan vänta sig att skulle hända. Men, utöver det, så läckte också alla inspelningarna ut på nätet.

Eller egentligen är det fel att säga att de ”läckte” ut – företaget bakom CloudPets, Spiral Toys, lämnade databasen med alla inspelningarna helt oskyddad på nätet. Vem som helst som visste hur och var de skulle söka efter oskyddade databaser kunde alltså hitta och komma åt informationen på databasen.

Bland informationen fanns länkar till över 2 miljoner inspelade meddelanden av både barn och vuxna och e-postaddresser för över 800.000 användare. Lösenorden var hashade här med, men Troy Hunt visade att många av lösenorden var så svaga att de lätt gick att bryta fast de var hashade.

CloudPets: en dålig situation blir värre (och värre)

Saker är sällan så dåliga att de inte kan bli värre. I fallet CloudPets gick det så att skurkarna laddade ner alla inspelningarna från databasen och bytte ut dem mot ett krav på en lösensumma för att få filerna tillbaka. (Det här är inte unikt för CloudPets: tusentals databaser har råkat ut för samma öde. Se t.ex. Brian Krebbs utläggning om fenomenet.)

Flera olika säkerhetsforskare försökte kontakta Spiral Toys via e-post, LinkedIn, telefon mm. för att berätta om problemet med den oskyddade databasen men ingen från företaget svarade.

När de äntligen gav ett svar på saken så var det såpass missvisande att det närmast måste klassificeras som lögn. (Läs mera t.ex. på Troy Hunts blog eller titta på hans videoblog om fallet.) Man kan tyvärr alltså inte lita på att företagen själva bär sitt ansvar i frågor gällande barns (eller vuxnas) datasäkerhet och sekretess.

Situationen är så pass illa att brittiska säkerhetsforskaren Ken Munro har rekommenderat ägare av CloudPets mjukisar att stänga av dem. Tyska medborgarorganisationen (eng. watchdog) Bundesnetzagentur har i sin tur rekommenderat ägare av CloudPets att förstöra dem (se bbc.com).

So what?

Vad lär vi oss av det här?  För det första: allting kan kopplas till nätet – men allting borde inte kopplas till nätet. Innan du köper en smart produkt, överväg om det faktiskt behöver finnas en Internetuppkoppling i den.

För det andra: att lagra information på nätet är alltid en säkerhets- och/eller sekretessrisk. Utgå ifrån att sannolikheten är god att all data i något skede kommer att läcka ut. Det är fritt fram för föräldrar att ta den risken gällande sin egen data, men fundera noggrant innan ni tar den risken för era barns del.

Äger du en CloudPets leksak, eller är i allmänhet orolig om dataintrång (vilket vi alla borde vara), lönar det sig att kolla Troy Hunts webbsajt haveibeenpwned. Den är till för att hjälpa människor kolla om de varit med i några kända dataintrång (vill du veta mera så kan du t.ex. läsa mitt blogginlägg om dataintrång och haveibeenpwned).

Barbie, Cayla, CloudPets, haveibeenpwned, VTech