AKILLI OYUNCAKLARDAKİ GÜVENLİK AÇIĞI

ÇOCUĞUNUZUN KUCAĞINDAKİ CASUS

Çocukların ve ebeveynlerinin, birbirlerine içten mesajlar göndermelerini sağlayan internet bağlantılı oyuncak ayı satan bir şirket, 800.000’den fazla müşterisinin kimliğini ve bunun yanı sıra 2 milyon sesli mesaj kaydını herkesin görebileceği ve dinleyebileceği şekilde çevrimiçi olarak korunmasız bıraktı. Global siber güvenlik şirketi Bitdefender, hassas verileri sızdırabilen akıllı oyuncaklar konusunda ebeveynleri uyardı.

Akıllı oyuncaklar üretici şirketlerin çabalarına rağmen, umduğunuz gibi güvenli olmayabilirler. Alman bir düşünce kuruluşunun yasadışı gözetleme araçları olarak hizmet eden akıllı oyuncaklarla ilgili son günlerde gündeme getirdiği endişeler, ebeveynler ile çocukları arasında paylaşılan 2 milyondan fazla kişisel ses mesajı akıllı bir oyuncak tarafından çevrimiçi sızdırılınca tekrar gündeme geldi. Global antivirüs yazılım şirketi Bitdefender, masum görünen internet bağlantılı oyuncaklar konusunda ebeveynleri uyardı.

Yaşanan son ihlal internet bağlantısı olan oyuncakların mahremiyeti ve güvenliği ile ilgili kaygıları artırdı. Ebeveynlerin ve çocuklarının 2 milyondan fazla ses kaydının yanı sıra, 800.000’den fazla hesaba ait e-posta adresi ve şifreyi korunmasız bırakan Spiral Toys, büyük bir güvenlik ihlaline yol açtı. Spiral Toys tarafından CloudPets serisinin bir parçası olarak yaratılan akıllı oyuncak ayı, mikrofonu ve hoparlörleri sayesinde ebeveynler ve çocukları arasında bir iletişim kanalı olarak kullanılıyor. Yalnızca internet bağlantısı ve uygulamasını yüklemek için bir akıllı telefon veya tablet gerektiren cihazın kullanımı da oldukça kolay.

Güvenlik araştırmacısı Troy Hunt’a göre, müşteri veri tabanı ve kaydedilen mesajlar, MongoDB’de Spiral Toys’un sözleşmeli olduğu mReady adlı bir Romanya şirketi tarafından saklandı ve bir şifre veya güvenlik duvarı ile korunmak yerine halka açık bırakıldı. Veri tabanı Shodan tarafından dizine eklenmişken, Amazon tarafından barındırılan buluta da erişim kolaydı çünkü Spiral Toys, müşteri veri tabanlarını herkese açık bir yerde depolamanın yanı sıra, kayıtları, müşteri profil resimlerini, çocukların adlarını ve ebeveynleri, akrabaları ve arkadaşlarıyla olan ilişkilerini depolamak için yetki gerektirmeyen bir Amazon barındırma hizmeti kullandı. Herhangi birinin verileri elde etmesi için gereken tek şey, Hunt’ın çözmenin zor olmadığını söylediği dosya konumunu bilmekti. Bilgiye erişen hackerlar bu bilgileri kopyaladı ve ardından fidye için veri tabanını tutarak sunucuyu temizledi.

Akıllı oyuncak ile ilgili zayıf noktalar Aralık ayında tespit edildi ve o zamandan beri üreticiye dört kez ulaşıldı, ancak yanıt alınamadı. Hunt, söz konusu iki şirketten en az birinin güvenlik açıklarını ve veri ihlalini bildiğine inanıyor. Fidye talep edenlerin geride bıraktığı kanıtlar da, bazı şirket yetkililerinin müdahaleleri bildiğini ortaya koyuyor.

İnternet bağlantılı oyuncaklarla ilgili endişeler son birkaç yıldır sıkça gündeme geliyor. Kasım 2015’te teknoloji haberleri sitesi Motherboard, oyuncak üreticisi VTech’in yaklaşık 5 milyon yetişkinin adını, e-posta adresini, şifresini ve ev adresini, buna ek olarak 200.000’den fazla çocuğun adını, cinsiyetini ve doğum tarihini korunmasız bırakan ihlalini açığa çıkarmıştı. Bundan bir ay sonra, bir araştırmacı Mattel tarafından yapılan internete bağlı bir Barbie bebeğin hackerların gerçek zamanlı konuşmalara müdahale etmesine izin verebilecek zayıf noktalar içerdiğini bulmuştu.

Bitdefender uzmanlarına göre internete bağlı akıllı cihazların güvenliği, bu cihazların sağladığı tüm avantajlardan çok daha önemli. Görüldüğü üzere akıllı olarak adlandırılan internet bağlantılı cihazlar, genellikle güvensiz, kolay hacklenebilir ve hassas verileri sızdırır durumda. Eğer çocuğunuzla aranızdaki sevgi mesajları çevrimiçi dünyada açığa çıksın istemiyorsanız, güvensiz bir sunucuya bağlanmayan eski moda bir oyuncak ayı satın almak isteyebilirsiniz.