CloudPets vend des peluches qui permettent à des enfants d’envoyer des messages sonores à leurs parents et proches.

Les peluches sont équipées de microphones, et se connectent aux serveurs du fabricant de jouets par l’intermédiaire d’un smartphone ou d’une tablette sous Android ou iOS avec une connectivité Internet.

Inversement, les parent peuvent envoyer des messages à leurs enfants, qui seront lus par la peluche.

Malheureusement, CloudPets a négligé la sécurité, dans une mesure qui nous semble criminelle.

La base de données massives MongoDB de CloudPets était en effet accessible sur le Web sans aucun mot de passe ni identification.

Et les enregistrements sonores étaient stockés dans AWS, et disponibles, également sans identification et sans mots de passe.

Le spécialiste de la sécurité Troy Hunt en a été informé par une source anonyme.

Il a pu confirmer que des mécréants n’ont pas tardé à détecter cette absence totale de sécurité, probablement à l’aide s’un simple scan de vulnérabilités sur tout Internet.

Ils ont volé les données personnelles de 820 000 clients de CloudPets.com et divulgués 2 millions d’enregistrements d’enfants.

Hunt affirme avoir contacté le fabricant de jouets, en toute discrétion, à trois reprises pour l’informer. Il aurait même fourni 580 000 comptes comme preuve. Mais le fabricant a fait la sourde oreille.

Tout laisse à penser que le fabricant a été victime à trois reprises de demandes de rançons : la base de données a été effacée de ses serveurs, et les pirates ont monnayé sa récupération.

Une attitude aussi cavalière d’une entreprise pour la cybersécurité, la sienne et celle de ses clients, est impardonnable, il est recommandé de ne jamais acheter de jouet de ce fabricant.